一、 漏洞 CVE-2025-1023 基础信息
漏洞标题
ChurchCRM的EditEventTypes.php中newCountName参数存在注入漏洞
来源:AIGC 神龙大模型
漏洞描述信息
在ChurchCRM 5.13.0及之前版本中存在一个漏洞,该漏洞使得攻击者能够利用EditEventTypes功能中的基于时间的盲SQL注入漏洞执行任意SQL查询。newCountName参数直接拼接到SQL查询中且没有进行适当的过滤,这使得攻击者可以操纵数据库查询并执行任意命令,可能导致数据泄露、修改或删除。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:AIGC 神龙大模型
漏洞标题
SQL Injection in ChurchCRM newCountName Parameter via EditEventTypes.php
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A vulnerability exists in ChurchCRM 5.13.0 and prior that allows an attacker to execute arbitrary SQL queries by exploiting a time-based blind SQL Injection vulnerability in the EditEventTypes functionality. The newCountName parameter is directly concatenated into an SQL query without proper sanitization, allowing an attacker to manipulate database queries and execute arbitrary commands, potentially leading to data exfiltration, modification, or deletion.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-1023 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-1023 的情报信息