ChurchCRM SQL注入漏洞（CNVD-2026-12565、CVE-2026-24854）

news2026/3/21 16:52:55

ChurchCRM 是一款开源的教堂客户关系管理系统采用 PHP 开发支持成员管理、贡献跟踪、事件安排及多语言沟通等功能。系统界面友好操作简单且提供详尽文档与活跃社区支持助力教堂高效管理日常运营。国家信息安全漏洞共享平台于2026-03-04公布该程序存在代码注入漏洞。漏洞编号CNVD-2026-12565CVE-2026-24854影响产品ChurchCRM 6.7.2漏洞级别高公布时间2026-03-04漏洞描述ChurchCRM 6.7.2之前版本存在SQL注入漏洞该漏洞源于/PaddleNumEditor.php端点中PerID参数缺少对外部输入SQL语句的验证。攻击者可利用该漏洞执行非法SQL命令窃取数据库敏感数据。解决办法厂商已发布了漏洞修复程序请及时关注更新https://churchcrm.io/install.html。同时你也可以使用『护卫神·防入侵系统』的“注入防护”模块来解决该注入漏洞不止对该漏洞有效对网站所有的SQL注入漏洞和跨脚本漏洞都可以防护。1、SQL注入防护和XSS跨站攻击防护『护卫神·防入侵系统』自带的SQL注入防护模块如图一除了拦截SQL注入还可以拦截XSS跨站脚本如图二一并解决ChurchCRM的其他安全漏洞拦截效果如图三。图一ChurchCRM防护SQL注入攻击图二ChurchCRM防护XSS跨站脚本攻击图三SQL注入拦截效果

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2434036.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！