CRITICAL🇬🇧 English

CVE-2026-35573

ChurchCRM: Path Traversal i RCE przez funkcję przywracania kopii zapasowej

CVSS 9.1v3.1pub. 2026-04-07upd. 2026-04-10

W systemie ChurchCRM przed wersją 6.5.3 istnieje podatność typu path traversal w module przywracania kopii zapasowych, umożliwiająca uwierzytelnionemu administratorowi przesyłanie dowolnych plików na serwer. Skutkiem może być zdalne wykonanie kodu (RCE) poprzez nadpisanie pliku konfiguracyjnego Apache .htaccess.

Pokaż oryginał (EN)

ChurchCRM is an open-source church management system. Prior to 6.5.3, a path traversal vulnerability in ChurchCRM's backup restore functionality allows authenticated administrators to upload arbitrary files and achieve remote code execution by overwriting Apache .htaccess configuration files. The vulnerability exists in src/ChurchCRM/Backup/RestoreJob.php. The $rawUploadedFile['name'] parameter is user-controlled and allows uploading files with arbitrary names to /var/www/html/tmp_attach/ChurchCRMBackups/. This vulnerability is fixed in 6.5.3.

🤖 Analiza AI
Jak działa

Podatność znajduje się w pliku src/ChurchCRM/Backup/RestoreJob.php, gdzie parametr $rawUploadedFile['name'] jest w całości kontrolowany przez użytkownika. Brak odpowiedniej walidacji nazwy pliku pozwala atakującemu na przesłanie pliku z dowolną ścieżką do katalogu /var/www/html/tmp_attach/ChurchCRMBackups/. Poprzez sekwencje path traversal możliwe jest nadpisanie pliku .htaccess Apache, co prowadzi do modyfikacji konfiguracji serwera i finalnie do zdalnego wykonania kodu.

Skutki

Atakujący z uprawnieniami administratora może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie kodu (RCE), a także naruszyć poufność, integralność i dostępność systemu.

Mitygacja

Należy zaktualizować ChurchCRM do wersji 6.5.3 lub nowszej, w której podatność została naprawiona. Zgodnie z referencjami producenta dostępne jest bezpośrednio w repozytorium GitHub projektu.

Kogo dotyczy

ChurchCRM we wszystkich wersjach przed 6.5.3

Uwagi

Podatność wymaga posiadania uprawnień administratora (PR:H), co ogranicza powierzchnię ataku. Mimo to wpływ jest krytyczny ze względu na możliwość nadpisania konfiguracji Apache i uzyskania RCE. Podatność została ujawniona i naprawiona w wersji 6.5.3.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Churchcrm

    APP
    Churchcrm
    < 6.5.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEPath Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-39342CRITICAL9.4PL ✓ten sam produkt

SQL Injection w ChurchCRM przez parametr searchwhat (QueryView.php)

CVE-2026-39339CRITICAL9.1PL ✓ten sam produkt

ChurchCRM — krytyczny auth bypass w API middleware

CVE-2026-39337CRITICAL10.0PL ✓ten sam produkt

ChurchCRM: pre-auth RCE przez wstrzyknięcie kodu PHP w kreatorze instalacji

CVE-2025-68110CRITICAL9.9PL ✓ten sam produkt

ChurchCRM: ujawnienie danych logowania do bazy danych w komunikacie błędu

CVE-2025-67876CRITICAL9.3PL ✓ten sam produkt

Stored XSS w ChurchCRM — przejęcie konta przez nazwy ról grup

CVE-2026-35573 — ChurchCRM: Path Traversal i RCE przez funkcję przywracania kopii zapasowej — CRITICAL 9.1 | CVEbaza.pl