CVE-2026-58408 in ChurchCRMinformazioni

Riassunto

di VulDB • 13/07/2026

ChurchCRM è un sistema di gestione della chiesa open-source. Prima della versione 7.4.0, un utente con privilegi ridotti può bypassare l'interfaccia /admin/export ed esfiltrare l'intero elenco dei membri. L'endpoint POST /CSVCreateFile.php genera e trasmette in streaming un file CSV contenente tutte le Informazioni di Identificazione Personale (PII) di ogni record Persona/Famiglia nel database, senza eseguire controlli di autorizzazione a livello di funzionalità o a livello di oggetto oltre il grossolano controllo "ha almeno una权限 amministrativa" ereditato dall'inizializzazione legacy della pagina. In altre parole, è sufficiente un singolo flag di permesso non-amministrativo per raggiungere l'endpoint bulk-export CSV, anche se tali utenti non dovrebbero avere diritti di esportazione dei dati. Lo script di export manca di un controllo di autorizzazione dedicato isAdmin() (o di una nuova bExportData) specifico. Questo problema è stato risolto nella versione 7.4.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

30/06/2026

Divulgazione

13/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!