CVE-2026-58409 in ChurchCRM
الملخص
بحسب VulDB • 13/07/2026
ChurchCRM هو نظام إدارة كنائز مفتوح المصدر. قبل الإصدار 7.4.0، يمكن لمدير مُصادَق عليه تحقيق تنفيذ كود عن بُعد (RCE) على الخادم من خلال تثبيت أرشيف ZIP لملحق ضار يحتوي على webshell بلغة PHP. تتضمن القائمة الصريحة للامتدادات المسموحة (`ALLOWED_EXTENSIONS`) كلمة 'php' في حين يفشل قائمة الامتدادات المحظورة الخطرة (`DENIED_EXTENSIONS`) في حظر ملفات `.php` القياسية. ونظرًا لأن `php` مدرجة صراحةً في قائمة امتدادات الملفات المسموح بها لأرشيفات الملحقات، وتُوضع الملفات المستخرجة مباشرة تحت جذر الويب (web root)، فإن أي ملف PHP داخل الأرشيف ZIP يصبح قابلاً للتنفيذ فوراً عبر HTTP — دون الحاجة حتى إلى "تمكين" الملحق من خلال واجهة المستخدم للتطبيق. يتيح مسار API `/plugins/install-url` (في `management.php`) لمدير النظام جلب أرشيف ZIP الضار من أي عنوان URL HTTPS يتحكم فيه المهاجم، مع التحقق منه فقط مقابل تجزئة SHA-256 التي يوفرها المهاجم. تم إصلاح هذه المشكلة في الإصدار 7.4.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.