JVNDB-2026-010610

ChurchCRMにおける複数の脆弱性

ChurchCRMはオープンソースの教会管理システムです。7.1.0以前のバージョンでは、PersonView.phpにおいて、不適切なsanitizeText()の使用が原因で格納型クロスサイトスクリプティング脆弱性が存在しました。この関数はHTMLタグのみを削除し、引用符文字をエスケープしないため、攻撃者はhref属性から抜け出して任意のJavaScriptイベントハンドラを注入できます。EditRecordsロールを持つ認証済みユーザーは、対象者のFacebookフィールドに悪意のあるコードを保存できます。このXSSは、その人物のプロフィールページを閲覧する任意のユーザー（管理者を含む）に影響を及ぼし、セッションハイジャックやアカウントの完全乗っ取りを可能にします。この脆弱性は7.1.0で修正されました。

ChurchCRM

• ChurchCRM 7.1.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。
さらに、当該ソフトウェアは停止しません。
そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• GitHub : Stored XSS in PersonView.php via Facebook Field Attribute Injection  Advisory  ChurchCRM/CRM  GitHub

1. 不適切なエンコード、または出力のエスケープ(CWE-116) [その他]
2. クロスサイトスクリプティング(CWE-79) [その他]
3. 代替 XSS 構文の不適切な無効化(CWE-87) [その他]

1. CVE-2026-35534

1. National Vulnerability Database (NVD) : CVE-2026-35534

• [2026年04月13日]
    掲載