CRITICAL🇬🇧 English

CVE-2026-42288

ChurchCRM: RCE przed uwierzytelnieniem w kreatorze konfiguracji (bypass patcha CVE-2026-39337)

CVSS 10.0v3.1pub. 2026-05-12upd. 2026-05-18

ChurchCRM w wersjach przed 7.3.2 zawiera niewystarczającą poprawkę dla CVE-2026-39337, pozostawiając aktywną podatność typu pre-authentication RCE w kreatorze konfiguracji (setup wizard). Atakujący bez żadnych poświadczeń może przejąć kontrolę nad serwerem, co czyni tę podatność krytyczną.

Pokaż oryginał (EN)

ChurchCRM is an open-source church management system. Prior to 7.3.2, The fix for CVE-2026-39337 is incomplete. The pre-authentication remote code execution vulnerability in ChurchCRM's setup wizard via unsanitized DB_PASSWORD remains fully exploitable This vulnerability is fixed in 7.3.2.

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniej sanityzacji parametru DB_PASSWORD przekazywanego przez kreator konfiguracji (setup wizard) systemu ChurchCRM. Wcześniejsza poprawka dla CVE-2026-39337 okazała się niekompletna i nie eliminuje faktycznego wektora ataku. Nieoczyszczone dane wejściowe trafiają do interpretera kodu (CWE-94 — code injection), co umożliwia wstrzyknięcie i wykonanie dowolnego kodu po stronie serwera bez konieczności logowania się do aplikacji.

Skutki

Atakujący zdalny, nieuwierzytelniony może wykonać dowolny kod na serwerze (RCE), uzyskując pełną kontrolę nad systemem, w tym dostęp do danych kościelnych, możliwość modyfikacji lub usunięcia danych oraz dalszego ruchu w sieci wewnętrznej.

Mitygacja

Należy niezwłocznie zaktualizować ChurchCRM do wersji 7.3.2 lub nowszej, w której podatność została naprawiona. Do czasu aktualizacji zaleca się zablokowanie dostępu do kreatora konfiguracji (setup wizard) na poziomie firewall lub serwera WWW.

Kogo dotyczy

ChurchCRM we wszystkich wersjach przed 7.3.2

Uwagi

Jest to bypass/niekompletna poprawka dla wcześniejszej podatności CVE-2026-39337 dotyczącej tego samego mechanizmu. Fakt, że poprzedni patch okazał się nieskuteczny, zwiększa prawdopodobieństwo aktywnego wykorzystania przez atakujących posiadających wiedzę o oryginalnej podatności.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje