CVE-2026-58409 in ChurchCRM
要約
〜によって VulDB • 2026年07月13日
ChurchCRMはオープンソースの教会管理システムです。バージョン7.4.0より前では、認証済み管理者がPHPウェブシェルを含む悪意のあるプラグインZIPアーカイブをインストールすることで、サーバー上でリモートコード実行(RCE)を実現できます。アプリケーションは許可拡張子リスト(ALLOWED_EXTENSIONS)に「php」を明示的に含めていますが、危険な拡張子の拒否リスト(DENIED_EXTENSIONS)では標準的な.phpファイルがブロックされません。プラグインアーカイブの許可拡張子リストに`php`が明示的に含まれており、展開されたファイルはWebルート直下に配置されるため、ZIP内の任意のPHPファイルはアプリケーションUIを通じて「有効化」する必要すらなく、HTTP経由ですぐに実行可能になります。/plugins/install-url APIエンドポイント(management.php)では、管理者が悪意のあるZIPを攻撃者が制御するHTTPS URLから取得でき、検証は攻撃者が指定したSHA-256ハッシュに対してのみ行われます。この問題はバージョン7.4.0で修正されました。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.