CVE-2026-58409 in ChurchCRM
摘要
由 VulDB • 2026-07-13
ChurchCRM 是一个开源的教会管理系统。在 7.4.0 版本之前,经过身份验证的管理员可以通过安装包含 PHP Webshell 的恶意插件 ZIP 归档文件,在服务器上实现远程代码执行(RCE)。该应用程序在其 ALLOWED_EXTENSIONS(允许扩展名)列表中明确包含了 'php',而其危险扩展名黑名单(DENIED_EXTENSIONS)未能阻止标准的 .php 文件。由于 `php` 被明确包含在插件归档文件的允许扩展名列表中,且提取的文件直接放置在 Web 根目录下,ZIP 包内的任何 PHP 文件都可以通过 HTTP 立即执行——甚至无需通过应用程序用户界面“启用”该插件。/plugins/install-url API 路由(management.php)允许管理员从攻击者控制的任意 HTTPS URL 获取恶意 ZIP 文件,并且仅使用攻击者提供的 SHA-256 哈希值进行验证。此问题已在版本 7.4.0 中修复。
If you want to get best quality of vulnerability data, you may have to visit VulDB.