CVE-2026-58409 in ChurchCRM
Resumen
por VulDB • 2026-07-13
ChurchCRM es un sistema de gestión eclesiástica de código abierto. Antes de la versión 7.4.0, un administrador autenticado puede lograr una Ejecución Remota de Código (RCE) en el servidor instalando un archivo ZIP de plugin malicioso que contiene un webshell PHP. La aplicación incluye explícitamente 'php' en su lista ALLOWED_EXTENSIONS (extensiones permitidas), mientras que la lista negra DENIED_EXTENSIONS (extensiones denegadas) no logra bloquear los archivos .php estándar. Dado que `php` está incluido explícitamente en la lista de extensiones permitidas para los archivos ZIP de plugins, y los archivos extraídos se colocan directamente bajo la raíz web, cualquier archivo PHP dentro del ZIP se vuelve inmediatamente ejecutable a través de HTTP, sin necesidad incluso de "habilitar" el plugin mediante la interfaz de usuario de la aplicación. La ruta API /plugins/install-url (management.php) permite a un administrador obtener el ZIP malicioso desde cualquier URL HTTPS controlada por el atacante, validándolo únicamente contra un hash SHA-256 proporcionado por el atacante. Este problema ha sido corregido en la versión 7.4.0.
If you want to get best quality of vulnerability data, you may have to visit VulDB.