ChurchCRM w wersjach przed 7.3.2 zawiera niewystarczającą poprawkę dla CVE-2026-39337, pozostawiając aktywną podatność typu pre-authentication RCE w kreatorze konfiguracji (setup wizard). Atakujący bez żadnych poświadczeń może przejąć kontrolę nad serwerem, co czyni tę podatność krytyczną.
▸ Pokaż oryginał (EN)
ChurchCRM is an open-source church management system. Prior to 7.3.2, The fix for CVE-2026-39337 is incomplete. The pre-authentication remote code execution vulnerability in ChurchCRM's setup wizard via unsanitized DB_PASSWORD remains fully exploitable This vulnerability is fixed in 7.3.2.
Podatność wynika z braku odpowiedniej sanityzacji parametru DB_PASSWORD przekazywanego przez kreator konfiguracji (setup wizard) systemu ChurchCRM. Wcześniejsza poprawka dla CVE-2026-39337 okazała się niekompletna i nie eliminuje faktycznego wektora ataku. Nieoczyszczone dane wejściowe trafiają do interpretera kodu (CWE-94 — code injection), co umożliwia wstrzyknięcie i wykonanie dowolnego kodu po stronie serwera bez konieczności logowania się do aplikacji.
Atakujący zdalny, nieuwierzytelniony może wykonać dowolny kod na serwerze (RCE), uzyskując pełną kontrolę nad systemem, w tym dostęp do danych kościelnych, możliwość modyfikacji lub usunięcia danych oraz dalszego ruchu w sieci wewnętrznej.
Należy niezwłocznie zaktualizować ChurchCRM do wersji 7.3.2 lub nowszej, w której podatność została naprawiona. Do czasu aktualizacji zaleca się zablokowanie dostępu do kreatora konfiguracji (setup wizard) na poziomie firewall lub serwera WWW.
ChurchCRM we wszystkich wersjach przed 7.3.2
Jest to bypass/niekompletna poprawka dla wcześniejszej podatności CVE-2026-39337 dotyczącej tego samego mechanizmu. Fakt, że poprzedni patch okazał się nieskuteczny, zwiększa prawdopodobieństwo aktywnego wykorzystania przez atakujących posiadających wiedzę o oryginalnej podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H