CVE-2026-58409 in ChurchCRMinformazioni

Riassunto

di VulDB • 13/07/2026

ChurchCRM è un sistema di gestione della chiesa open-source. Prima della versione 7.4.0, un amministratore autenticato può ottenere l'Esecuzione Remota di Codice (RCE) sul server installando un archivio ZIP contenente un plugin malevolo che include una webshell PHP. L'applicazione include esplicitamente 'php' nella lista ALLOWED_EXTENSIONS, mentre la denylist delle estensioni pericolose (DENIED_EXTENSIONS) non riesce a bloccare i file .php standard. Poiché `php` è incluso esplicitamente nell'elenco delle estensioni consentite per gli archivi dei plugin e i file estratti vengono posizionati direttamente sotto la radice web, qualsiasi file PHP all'interno dello ZIP diventa immediatamente eseguibile tramite HTTP — senza nemmeno bisogno di "abilitare" il plugin attraverso l'interfaccia utente dell'applicazione. Il percorso API /plugins/install-url (management.php) consente a un amministratore di recuperare lo ZIP malevolo da qualsiasi URL HTTPS controllato dall'attaccante, validandolo solo contro un hash SHA-256 fornito dall'attaccante. Questo problema è stato risolto nella versione 7.4.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

30/06/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!