CVE-2026-35572
⚪ Do wiadomości
W ChurchCRM przed wersją 6.5.3 występuje podatność SSRF umożliwiająca atakującym wywołanie żądań do dowolnych hostów.
CVSS
6.0
EPSS
0.0%
Exploit
poc
Vendor
churchcrm
Opis źródłowy (NVD)
ChurchCRM is an open-source church management system. Prior to 6.5.3, it is possible to trigger server-side HTTP/HTTPS requests to arbitrary hosts (SSRF) by supplying a crafted URL in the Referer request header. The server subsequently makes an outbound request to the attacker-controlled domain, confirmed via OAST. This vulnerability is fixed in 6.5.3.
exploit ssrf
Brak patcha
Źródła i daty
| Źródło | Wartość |
|---|---|
| NVD – CVSS | 6.0 |
| CISA KEV (aktywnie wykorzystywane) | Nie |
| FIRST EPSS (prawdopodobieństwo exploita) | 0.0% |
| Opublikowano (NVD) | 2026-04-07 18:16:41 UTC |
| Ostatnia modyfikacja (NVD) | 2026-04-10 20:58:52 UTC |
Referencje
- https://github.com/ChurchCRM/CRM/security/advisories/GHSA-44x3-28jv-mrwq (security-advisories@github.com) [Third Party Advisory, Exploit]