CVE-2026-39344ChurchCRM是一款开源教会管理系统。在7.1.0版本之前,其登录页面存在一个反射型跨站脚本(XSS)漏洞。该漏洞源于未对URL中接收的“username”参数进行适当的清理或编码。攻击者可以通过构造恶意URL,将JavaScript代码注入到登录页面的输入框中,当受害者点击链接时,恶意脚本将在客户端执行,可能导致会话Cookie被窃取或页面显示被篡改。该漏洞已在7.1.0版本中修复。
该漏洞属于反射型XSS,出现在ChurchCRM登录页面的参数处理逻辑中。当用户访问带有特定“username”参数的登录URL时,后端应用直接将参数值回显到登录表单用户名输入框的value属性中,且未进行HTML实体编码或输入过滤。由于攻击向量为网络(AV:N)且无需认证(PR:N),攻击者可诱导受害者访问精心构造的恶意链接。虽然需要用户交互(UI:R),但一旦受害者加载页面,嵌入的JavaScript代码便会在其浏览器上下文中执行。利用此漏洞,攻击者可窃取Session ID劫持会话,或通过伪造登录框实施钓鱼攻击,严重威胁机密性与完整性。