CVE-2025-67751: CWE-89: ChurchCRM CRM中SQL命令特殊元素中和不当（SQL注入）

严重性：高 类型：漏洞 CVE编号：CVE-2025-67751

ChurchCRM是一个开源教堂管理系统。在6.5.0版本之前，EventEditor.php文件中存在一个SQL注入漏洞。在创建新事件并选择事件类型时，EN_tyid POST参数未经过净化。这使得拥有事件管理权限（isAddEvent）的认证用户能够执行任意SQL查询。6.5.0版本修复了此问题。

AI分析

技术总结

CVE-2025-67751是一个被归类为CWE-89的SQL注入漏洞，影响开源教堂管理系统ChurchCRM。该缺陷存在于6.5.0版本之前的EventEditor.php文件中，具体涉及创建新事件和选择事件类型时使用的EN_tyid POST参数的处理。此参数未得到适当净化，允许拥有isAddEvent权限的认证用户注入任意SQL命令。利用此漏洞可能导致未经授权的数据泄露、数据操纵或底层数据库的完全沦陷，影响机密性、完整性和可用性。该漏洞需要网络访问和认证权限，但无需额外的用户交互。其CVSS 3.1基础评分为7.2，由于攻击复杂度低、影响高，反映了高严重性。目前尚未发现公开的利用代码，但如果被利用，此漏洞会构成重大风险。该问题已在ChurchCRM 6.5.0版本中解决，该版本对EN_tyid参数实施了正确的输入验证和净化。

潜在影响

对于使用ChurchCRM的欧洲组织，特别是教堂、宗教机构和社区团体，此漏洞构成了严重风险。利用此漏洞可能导致未经授权访问敏感会员数据、活动详情，以及如果存储在CRM中，还可能包括财务信息。恶意SQL命令修改记录可能损害数据完整性，破坏性查询可能扰乱可用性。这可能导致声誉损害、因数据泄露而面临GDPR下的法律后果以及运营中断。由于该漏洞需要具备事件管理权限的认证访问，内部威胁或凭证泄露会增加风险。在数据保护法规严格且活跃的教会社区日常运营依赖ChurchCRM的国家，影响会进一步放大。

缓解建议

主要的缓解措施是将ChurchCRM安装升级到6.5.0或更高版本，漏洞在该版本中已修复。组织应审计并将事件管理权限（isAddEvent）限制在仅受信任且必要的用户，以最小化攻击面。在应用层对所有用户提供的数据实施额外的输入验证和净化，尤其是POST参数。采用数据库活动监控和异常检测来识别可疑的SQL查询。定期审查日志以发现未经授权的访问尝试或异常行为。考虑通过网络分段来限制对CRM系统的访问，并对拥有提升权限的用户实施强身份验证机制，如多因素认证。开展安全意识培训以降低凭证泄露的风险。最后，保持最新的备份，以便在发生数据损坏或丢失时能够恢复。

受影响的国家

英国、德国、法国、意大利、西班牙、荷兰、比利时、波兰、瑞典、奥地利

技术详情

数据版本： 5.2 分配者简称： GitHub_M 日期预留： 2025-12-11T20:30:54.927Z Cvss版本： 3.1 状态： 已发布

威胁ID： 6940b2a5d9bcdf3f3d15a2ef 添加到数据库： 2025年12月16日 上午1:15:17 最后丰富： 2025年12月16日 上午1:30:20 最后更新： 2025年12月16日 上午5:35:03 浏览量： 9