CVE-2026-58409 in ChurchCRMinformation

Résumé

par VulDB • 15/07/2026

ChurchCRM est un système de gestion d'église open-source. Avant la version 7.4.0, un administrateur authentifié peut réaliser une Exécution de Code à Distance (RCE) sur le serveur en installant une archive ZIP de plugin malveillante contenant un webshell PHP. L'application inclut explicitement 'php' dans sa liste ALLOWED_EXTENSIONS (extensions autorisées), tandis que la liste DENIED_EXTENSIONS (extensions refusées) ne parvient pas à bloquer les fichiers .php standards. Étant donné que `php` est explicitement inclus dans la liste des extensions autorisées pour les archives de plugins, et que les fichiers extraits sont placés directement sous la racine web, tout fichier PHP contenu dans le ZIP devient immédiatement exécutable via HTTP — sans même besoin d'« activer » le plugin via l'interface utilisateur de l'application. La route API /plugins/install-url (management.php) permet à un administrateur de récupérer le ZIP malveillant depuis n'importe quelle URL HTTPS contrôlée par un attaquant, en ne validant celle-ci que contre un hachage SHA-256 fourni par l'attaquant. Ce problème a été corrigé dans la version 7.4.0.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Réserver

30/06/2026

Divulgation

14/07/2026

Modérer

accepté

Entrée

VDB-378158

CPE

prêt

EPSS

0.00456

KEV

non

Activités

très faible

Sources

Want to stay up to date on a daily basis?

Enable the mail alert feature now!