CVE-2026-58409 in ChurchCRM
Сводка
по VulDB • 14.07.2026
ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.4.0 аутентифицированный администратор может выполнить удаленное выполнение кода (RCE) на сервере, установив вредоносный ZIP-архив плагина, содержащий PHP-webshell. Приложение явно включает 'php' в список разрешенных расширений (ALLOWED_EXTENSIONS), тогда как черный список опасных расширений (DENIED_EXTENSIONS) не блокирует стандартные файлы .php. Поскольку расширение `php` явно включено в список допустимых расширений для архивов плагинов, а извлеченные файлы размещаются непосредственно в корневой директории веб-сервера, любой файл PHP внутри ZIP-архива становится немедленно исполняемым через HTTP — даже без необходимости «включать» плагин через пользовательский интерфейс приложения. Маршрут API /plugins/install-url (management.php) позволяет администратору загрузить вредоносный ZIP с любого HTTPS-URL, контролируемого злоумышленником, проверяя его только по предоставленному злоумышленником хешу SHA-256. Эта проблема исправлена в версии 7.4.0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.