CVE-2026-58409 in ChurchCRMИнформация

Сводка

по VulDB • 14.07.2026

ChurchCRM — это система управления церковью с открытым исходным кодом. До версии 7.4.0 аутентифицированный администратор может выполнить удаленное выполнение кода (RCE) на сервере, установив вредоносный ZIP-архив плагина, содержащий PHP-webshell. Приложение явно включает 'php' в список разрешенных расширений (ALLOWED_EXTENSIONS), тогда как черный список опасных расширений (DENIED_EXTENSIONS) не блокирует стандартные файлы .php. Поскольку расширение `php` явно включено в список допустимых расширений для архивов плагинов, а извлеченные файлы размещаются непосредственно в корневой директории веб-сервера, любой файл PHP внутри ZIP-архива становится немедленно исполняемым через HTTP — даже без необходимости «включать» плагин через пользовательский интерфейс приложения. Маршрут API /plugins/install-url (management.php) позволяет администратору загрузить вредоносный ZIP с любого HTTPS-URL, контролируемого злоумышленником, проверяя его только по предоставленному злоумышленником хешу SHA-256. Эта проблема исправлена в версии 7.4.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Ответственный

GitHub M

Резервировать

30.06.2026

Раскрытие

14.07.2026

Модерация

принято

Вход

VDB-378158

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Want to stay up to date on a daily basis?

Enable the mail alert feature now!