CVE-2026-58409 in ChurchCRMالمعلومات

الملخص

بحسب VulDB • 13/07/2026

ChurchCRM هو نظام إدارة كنائز مفتوح المصدر. قبل الإصدار 7.4.0، يمكن لمدير مُصادَق عليه تحقيق تنفيذ كود عن بُعد (RCE) على الخادم من خلال تثبيت أرشيف ZIP لملحق ضار يحتوي على webshell بلغة PHP. تتضمن القائمة الصريحة للامتدادات المسموحة (`ALLOWED_EXTENSIONS`) كلمة 'php' في حين يفشل قائمة الامتدادات المحظورة الخطرة (`DENIED_EXTENSIONS`) في حظر ملفات `.php` القياسية. ونظرًا لأن `php` مدرجة صراحةً في قائمة امتدادات الملفات المسموح بها لأرشيفات الملحقات، وتُوضع الملفات المستخرجة مباشرة تحت جذر الويب (web root)، فإن أي ملف PHP داخل الأرشيف ZIP يصبح قابلاً للتنفيذ فوراً عبر HTTP — دون الحاجة حتى إلى "تمكين" الملحق من خلال واجهة المستخدم للتطبيق. يتيح مسار API `/plugins/install-url` (في `management.php`) لمدير النظام جلب أرشيف ZIP الضار من أي عنوان URL HTTPS يتحكم فيه المهاجم، مع التحقق منه فقط مقابل تجزئة SHA-256 التي يوفرها المهاجم. تم إصلاح هذه المشكلة في الإصدار 7.4.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

30/06/2026

إفشاء

14/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378158

EPSS

0.00456

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!