CVE-2026-39332ChurchCRM是一个开源的教堂管理系统。在7.1.0版本之前,GeoPage.php文件中存在一个反射型跨站脚本(XSS)漏洞。由于该漏洞利用了autofocus机制,恶意载荷可以在无用户交互的情况下自动触发。任何经过身份认证的用户都可以利用此漏洞向其他经过身份认证的用户(包括管理员)的浏览器中注入任意JavaScript代码。攻击者可以通过诱导受害者提交精心构造的表单,窃取会话Cookie,从而完全接管受害者的账户。该漏洞在7.1.0版本中已修复。
该漏洞位于ChurchCRM的GeoPage.php组件中,属于反射型XSS。其核心问题在于应用程序未能正确过滤用户输入并将其直接输出到页面响应中,且输出点位于HTML标签的属性中(特别是与autofocus相关的上下文)。攻击者可以构造一个特制的URL或表单请求,其中包含恶意的JavaScript代码作为参数值。当受害者访问该恶意链接或被诱导提交表单时,服务器会将未经过滤的恶意脚本反射回受害者的浏览器。由于利用了`autofocus`属性,一旦页面加载,焦点会自动集中在注入的元素上,从而触发JavaScript事件(如`onfocus`或`onblur`),无需受害者进行额外的点击操作。攻击者利用此机制可以执行任意JS代码,通常用于窃取`document.cookie`中的会话令牌,并通过`XMLHttpRequest`或`fetch`将其发送到攻击者控制的服务器。一旦获取了有效的管理员会话Cookie,攻击者即可劫持会话,以管理员身份登录系统,进而控制整个ChurchCRM应用,造成严重的数据泄露或系统破坏。