CVE-2026-58409 in ChurchCRM信息

摘要

由 VulDB • 2026-07-13

ChurchCRM 是一个开源的教会管理系统。在 7.4.0 版本之前,经过身份验证的管理员可以通过安装包含 PHP Webshell 的恶意插件 ZIP 归档文件,在服务器上实现远程代码执行(RCE)。该应用程序在其 ALLOWED_EXTENSIONS(允许扩展名)列表中明确包含了 'php',而其危险扩展名黑名单(DENIED_EXTENSIONS)未能阻止标准的 .php 文件。由于 `php` 被明确包含在插件归档文件的允许扩展名列表中,且提取的文件直接放置在 Web 根目录下,ZIP 包内的任何 PHP 文件都可以通过 HTTP 立即执行——甚至无需通过应用程序用户界面“启用”该插件。/plugins/install-url API 路由(management.php)允许管理员从攻击者控制的任意 HTTPS URL 获取恶意 ZIP 文件,并且仅使用攻击者提供的 SHA-256 哈希值进行验证。此问题已在版本 7.4.0 中修复。

If you want to get best quality of vulnerability data, you may have to visit VulDB.

来源

Want to know what is going to be exploited?

We predict KEV entries!