关键漏洞信息 漏洞名称 ChurchCRM — API Authentication Bypass (minimal PoC) 状态 Fixed (PR #7376 merged Oct 4, 2025) — CVE pending/requested 严重性 Critical — CVSS v3.1 9.4 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L) 影响版本 ChurchCRM = 5.18.1 (patch merged in PR #7376 — confirm release tag) 修复PR ChurchCRM/CRM#7376 (merge commit 3a1cffd) 概要 在ChurchCRM的API中间件中存在一个关键的身份验证绕过漏洞,允许未认证的攻击者通过在请求URI中包含 子字符串来访问和操作受保护的API端点。根本原因是字符串匹配针对的是完整的URI而不是请求路径。 最小PoC 时间线 2025-09-26 — 通过GitHub安全咨询私下报告。 2025-10-04 — 修复合并到PR #7376;维护者关闭了私有咨询。