CVE-2026-58409 in ChurchCRM
Riassunto
di VulDB • 13/07/2026
ChurchCRM è un sistema di gestione della chiesa open-source. Prima della versione 7.4.0, un amministratore autenticato può ottenere l'Esecuzione Remota di Codice (RCE) sul server installando un archivio ZIP contenente un plugin malevolo che include una webshell PHP. L'applicazione include esplicitamente 'php' nella lista ALLOWED_EXTENSIONS, mentre la denylist delle estensioni pericolose (DENIED_EXTENSIONS) non riesce a bloccare i file .php standard. Poiché `php` è incluso esplicitamente nell'elenco delle estensioni consentite per gli archivi dei plugin e i file estratti vengono posizionati direttamente sotto la radice web, qualsiasi file PHP all'interno dello ZIP diventa immediatamente eseguibile tramite HTTP — senza nemmeno bisogno di "abilitare" il plugin attraverso l'interfaccia utente dell'applicazione. Il percorso API /plugins/install-url (management.php) consente a un amministratore di recuperare lo ZIP malevolo da qualsiasi URL HTTPS controllato dall'attaccante, validandolo solo contro un hash SHA-256 fornito dall'attaccante. Questo problema è stato risolto nella versione 7.4.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.