CVE-2026-58409 in ChurchCRM情報

要約

〜によって VulDB • 2026年07月13日

ChurchCRMはオープンソースの教会管理システムです。バージョン7.4.0より前では、認証済み管理者がPHPウェブシェルを含む悪意のあるプラグインZIPアーカイブをインストールすることで、サーバー上でリモートコード実行(RCE)を実現できます。アプリケーションは許可拡張子リスト(ALLOWED_EXTENSIONS)に「php」を明示的に含めていますが、危険な拡張子の拒否リスト(DENIED_EXTENSIONS)では標準的な.phpファイルがブロックされません。プラグインアーカイブの許可拡張子リストに`php`が明示的に含まれており、展開されたファイルはWebルート直下に配置されるため、ZIP内の任意のPHPファイルはアプリケーションUIを通じて「有効化」する必要すらなく、HTTP経由ですぐに実行可能になります。/plugins/install-url APIエンドポイント(management.php)では、管理者が悪意のあるZIPを攻撃者が制御するHTTPS URLから取得でき、検証は攻撃者が指定したSHA-256ハッシュに対してのみ行われます。この問題はバージョン7.4.0で修正されました。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年06月30日

モデレーション

承諾済み

エントリ

VDB-378158

EPSS

0.00456

アクティビティ

低い

ソース

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!