PT-2026-57866 · Churchcrm · Churchcrm

Publicado

2026-07-13

·

Atualizado

2026-07-13

·

CVE-2026-58409

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas ChurchCRM versões anteriores a 7.4.0
Description Um administrador autenticado pode alcançar a Execução Remota de Código (RCE) ao instalar um arquivo ZIP de plugin malicioso contendo um webshell PHP. A aplicação inclui php em sua lista ALLOWED EXTENSIONS, e a lista de negação DENIED EXTENSIONS falha em bloquear arquivos .php padrão. Como os arquivos extraídos são colocados diretamente na raiz da web, qualquer arquivo PHP dentro do ZIP torna-se executável via HTTP sem a necessidade de ativar o plugin através da interface do usuário. A rota de API /plugins/install-url (management.php) permite que um administrador obtenha o arquivo ZIP de uma URL HTTPS externa, validando-o apenas contra um hash SHA-256 fornecido.
Recommendations Atualizar para a versão 7.4.0.

Correção

RCE

Unrestricted File Upload

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-58409

Produtos afetados

Churchcrm