CVE-2026-39338ChurchCRM是一个开源的教堂管理系统。在7.1.0版本之前,其仪表板接受的搜索参数中存在盲注反射型跨站脚本(XSS)漏洞。应用程序在将用户提供的输入渲染到浏览器的DOM之前,未能对其进行消毒或编码。尽管由于恶意载荷导致的API请求格式错误,应用程序最终返回HTTP 500错误,但浏览器的JavaScript引擎会在错误响应返回之前解析并执行注入的<script>标签,从而导致无论服务器端错误如何,代码都能成功执行。该漏洞在7.1.0版本中已修复。
该漏洞属于反射型XSS,其核心在于ChurchCRM的搜索接口对用户输入缺乏有效的输入验证和输出编码。攻击者可以构造恶意URL,将JavaScript代码嵌入搜索参数中。当受害者访问该链接时,服务器端处理逻辑虽然会在后续步骤因API请求畸形而抛出HTTP 500错误,但在错误响应完全生成并阻断页面之前,前端浏览器已经解析了包含恶意脚本的DOM结构。由于浏览器的渲染机制,恶意脚本在错误发生前即被加载和执行。这使得攻击者能够绕过服务端错误检测,在受害者浏览器上下文中执行任意JavaScript代码,进而窃取Cookie、会话令牌或重定向用户。