https://blog.qife122.com/tags/churchcrm/ Recent content in ChurchCRM on 办公AI智能小助手 Hugo zh-cn qife Sun, 28 Dec 2025 21:04:36 +0800 https://blog.qife122.com/p/churchcrm-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-67751%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%96%B9%E6%A1%88/ Sun, 28 Dec 2025 21:04:36 +0800 https://blog.qife122.com/p/churchcrm-sql%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90cve-2025-67751%E6%8A%80%E6%9C%AF%E7%BB%86%E8%8A%82%E4%B8%8E%E4%BF%AE%E5%A4%8D%E6%96%B9%E6%A1%88/ <h3 id="cve-2025-67751-cwe-89-churchcrm-crm中sql命令特殊元素中和不当sql注入">CVE-2025-67751: CWE-89: ChurchCRM CRM中SQL命令特殊元素中和不当（SQL注入）</h3> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong> <strong>CVE编号：CVE-2025-67751</strong></p> <p>ChurchCRM是一个开源教堂管理系统。在6.5.0版本之前，<code>EventEditor.php</code>文件中存在一个SQL注入漏洞。在创建新事件并选择事件类型时，<code>EN_tyid</code> POST参数未经过净化。这使得拥有事件管理权限（<code>isAddEvent</code>）的认证用户能够执行任意SQL查询。6.5.0版本修复了此问题。</p>