CVE-2026-58409 in ChurchCRM
요약
\~에 의해 VulDB • 2026. 07. 14.
ChurchCRM은 오픈소스 교회 관리 시스템입니다. 버전 7.4.0 이전에는 인증된 관리자라도 PHP 웹쉘을 포함하는 악성 플러그인 ZIP 아카이브를 설치함으로써 서버에서 원격 코드 실행(RCE)을 달성할 수 있습니다. 애플리케이션은 허용되는 확장자 목록(ALLOWED_EXTENSIONS)에 'php'를 명시적으로 포함하고 있으며, 위험한 확장자에 대한 차단 목록(DENIED_EXTENSIONS)은 표준 .php 파일을 차단하지 못합니다. 플러그인 아카이브의 허용된 확장자 목록에 `php`가 명시적으로 포함되어 있고 추출된 파일이 웹 루트 바로 아래에 배치되므로, ZIP 내부의 모든 PHP 파일은 애플리케이션 UI를 통해 플러그인을 "활성화"할 필요 없이 HTTP를 통해 즉시 실행될 수 있습니다. /plugins/install-url API 엔드포인트(management.php)는 관리자가 악성 ZIP을 공격자가 제어하는 HTTPS URL에서 소스하도록 허용하며, 검증은 오직 공격자가 제공한 SHA-256 해시에 대해서만 수행됩니다. 이 문제는 버전 7.4.0에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.