Tech Blog

2026-04-18 securityvulnerability_io vulnerability

Mehrere Schwachstellen (CVE-2026-40477, CVE-2026-40478, CVE-2026-40484, CVE-2026-40572, CVE-2026-40582) in Churchcrm

⚠️ CVE-Referenzen: CVE-2026-40477 CVE-2026-40478 CVE-2026-40484 CVE-2026-40572 CVE-2026-40582

Zusammenfassung

Das Open-Source-Kirchenverwaltungstool ChurchCRM hat eine Sicherheitslücke in seiner Datenbank-Backup-Wiederherstellung. Authentifizierte Administratoren können eine manipulierte Backup-Datei hochladen, die dann ohne Prüfung auf dem Server ausgeführt wird. Damit ist eine Ausführung von Schadcode möglich. Zusätzlich fehlt eine CSRF-Token-Überprüfung, was Angriffe über Cross-Site-Request-Forgery ermöglicht. Die Schwachstelle wurde in Version 7.2.0 behoben.

Churchcrm - Crm - CRITICAL - CVE-2026-40484. ChurchCRM, an open-source church management tool, has a vulnerability in its database backup restore functionality. This flaw allows an authenticated administrator to upload a malicious backup archive containing a PHP webshell, which is then extracted to a publicly accessible directory without proper file type checks. Consequently, this results in remote code execution as the web server user. Additionally, the restore endpoint lacks CSRF token validation, making it susceptible to cross-site request forgery attacks targeting authenticated users. This issue has been resolved in version 7.2.0.
Quelle: securityvulnerability.io
Auch berichtet von:
Originalartikel lesen →
← Zurück zur Übersicht