CVE-2026-58409 in ChurchCRM
Sumário
de VulDB • 13/07/2026
O ChurchCRM é um sistema de gestão paroquial de código aberto. Antes da versão 7.4.0, um administrador autenticado pode realizar Execução Remota de Código (RCE) no servidor ao instalar um arquivo ZIP de plugin malicioso contendo uma webshell PHP. A aplicação inclui explicitamente 'php' na sua lista ALLOWED_EXTENSIONS, enquanto a blacklist de extensões perigosas (DENIED_EXTENSIONS) falha em bloquear ficheiros .php padrão. Como `php` está incluído explicitamente na lista de extensões permitidas para arquivos ZIP de plugin e os ficheiros extraídos são colocados diretamente sob o web root, qualquer ficheiro PHP dentro do ZIP torna-se imediatamente executável via HTTP — sem sequer precisar de "ativar" o plugin através da interface gráfica da aplicação. A rota API /plugins/install-url (management.php) permite que um administrador obtenha o ZIP malicioso a partir de qualquer URL HTTPS controlado pelo atacante, validando-o apenas contra um hash SHA-256 fornecido pelo atacante. Este problema foi corrigido na versão 7.4.0.
Once again VulDB remains the best source for vulnerability data.