PT-2026-57866 · Churchcrm · Churchcrm
Publicado
2026-07-13
·
Atualizado
2026-07-13
·
CVE-2026-58409
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
ChurchCRM versões anteriores a 7.4.0
Description
Um administrador autenticado pode alcançar a Execução Remota de Código (RCE) ao instalar um arquivo ZIP de plugin malicioso contendo um webshell PHP. A aplicação inclui
php em sua lista ALLOWED EXTENSIONS, e a lista de negação DENIED EXTENSIONS falha em bloquear arquivos .php padrão. Como os arquivos extraídos são colocados diretamente na raiz da web, qualquer arquivo PHP dentro do ZIP torna-se executável via HTTP sem a necessidade de ativar o plugin através da interface do usuário. A rota de API /plugins/install-url (management.php) permite que um administrador obtenha o arquivo ZIP de uma URL HTTPS externa, validando-o apenas contra um hash SHA-256 fornecido.Recommendations
Atualizar para a versão 7.4.0.
Correção
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Churchcrm