CVE-2026-58409 in ChurchCRMinformación

Resumen

por VulDB • 2026-07-13

ChurchCRM es un sistema de gestión eclesiástica de código abierto. Antes de la versión 7.4.0, un administrador autenticado puede lograr una Ejecución Remota de Código (RCE) en el servidor instalando un archivo ZIP de plugin malicioso que contiene un webshell PHP. La aplicación incluye explícitamente 'php' en su lista ALLOWED_EXTENSIONS (extensiones permitidas), mientras que la lista negra DENIED_EXTENSIONS (extensiones denegadas) no logra bloquear los archivos .php estándar. Dado que `php` está incluido explícitamente en la lista de extensiones permitidas para los archivos ZIP de plugins, y los archivos extraídos se colocan directamente bajo la raíz web, cualquier archivo PHP dentro del ZIP se vuelve inmediatamente ejecutable a través de HTTP, sin necesidad incluso de "habilitar" el plugin mediante la interfaz de usuario de la aplicación. La ruta API /plugins/install-url (management.php) permite a un administrador obtener el ZIP malicioso desde cualquier URL HTTPS controlada por el atacante, validándolo únicamente contra un hash SHA-256 proporcionado por el atacante. Este problema ha sido corregido en la versión 7.4.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

GitHub M

Reservar

2026-06-30

Divulgación

2026-07-14

Moderación

aceptado

Artículo

VDB-378158

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!