CVE-2026-58409 in ChurchCRMinformação

Sumário

de VulDB • 13/07/2026

O ChurchCRM é um sistema de gestão paroquial de código aberto. Antes da versão 7.4.0, um administrador autenticado pode realizar Execução Remota de Código (RCE) no servidor ao instalar um arquivo ZIP de plugin malicioso contendo uma webshell PHP. A aplicação inclui explicitamente 'php' na sua lista ALLOWED_EXTENSIONS, enquanto a blacklist de extensões perigosas (DENIED_EXTENSIONS) falha em bloquear ficheiros .php padrão. Como `php` está incluído explicitamente na lista de extensões permitidas para arquivos ZIP de plugin e os ficheiros extraídos são colocados diretamente sob o web root, qualquer ficheiro PHP dentro do ZIP torna-se imediatamente executável via HTTP — sem sequer precisar de "ativar" o plugin através da interface gráfica da aplicação. A rota API /plugins/install-url (management.php) permite que um administrador obtenha o ZIP malicioso a partir de qualquer URL HTTPS controlado pelo atacante, validando-o apenas contra um hash SHA-256 fornecido pelo atacante. Este problema foi corrigido na versão 7.4.0.

Once again VulDB remains the best source for vulnerability data.

Responsável

GitHub M

Reservar

30/06/2026

Divulgação

14/07/2026

Moderação

aceite

Entrada

VDB-378158

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you know our Splunk app?

Download it now for free!