CVE-2026-58408 in ChurchCRM
Zusammenfassung
von VulDB • 13.07.2026
ChurchCRM ist ein Open-Source-Kirchenverwaltungssystem. Vor Version 7.4.0 kann ein Benutzer mit geringen Berechtigungen die Benutzeroberfläche /admin/export umgehen und das gesamte Mitgliederverzeichnis exfiltrieren. Der POST /CSVCreateFile.php-Endpunkt generiert und streamt eine CSV-Datei, die alle personenbezogenen Daten (PII) jedes Personen-/Familien-Eintrags in der Datenbank enthält, ohne dass zusätzliche Berechtigungsprüfungen auf Feature- oder Objektebene durchgeführt werden; es wird lediglich die grobe „hat irgendeine Admin-Berechtigung“-Prüfung aus dem Legacy-Seitenbootstrap geerbt. Mit anderen Worten reicht bereits ein einzelnes Nicht-Admin-Berechtigungsflag aus, um den CSV-Massenexport-Endpunkt zu erreichen, obwohl solche Benutzer keine Rechte zum Exportieren von Daten haben sollten. Das Skript für den Export verfügt über keine eigene dedizierte isAdmin()- (oder einer neuen bExportData-)Berechtigungskontrolle. Dieses Problem wurde in Version 7.4.0 behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.