CVE-2026-58408 in ChurchCRMinfo

Zusammenfassung

von VulDB • 13.07.2026

ChurchCRM ist ein Open-Source-Kirchenverwaltungssystem. Vor Version 7.4.0 kann ein Benutzer mit geringen Berechtigungen die Benutzeroberfläche /admin/export umgehen und das gesamte Mitgliederverzeichnis exfiltrieren. Der POST /CSVCreateFile.php-Endpunkt generiert und streamt eine CSV-Datei, die alle personenbezogenen Daten (PII) jedes Personen-/Familien-Eintrags in der Datenbank enthält, ohne dass zusätzliche Berechtigungsprüfungen auf Feature- oder Objektebene durchgeführt werden; es wird lediglich die grobe „hat irgendeine Admin-Berechtigung“-Prüfung aus dem Legacy-Seitenbootstrap geerbt. Mit anderen Worten reicht bereits ein einzelnes Nicht-Admin-Berechtigungsflag aus, um den CSV-Massenexport-Endpunkt zu erreichen, obwohl solche Benutzer keine Rechte zum Exportieren von Daten haben sollten. Das Skript für den Export verfügt über keine eigene dedizierte isAdmin()- (oder einer neuen bExportData-)Berechtigungskontrolle. Dieses Problem wurde in Version 7.4.0 behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

30.06.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378156

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!