CRITICAL🇬🇧 English

CVE-2026-44547

ChurchCRM: niekompletna naprawa CVE-2026-4058 — Auth Bypass w wersjach 7.2.x

CVSS 9.6v3.1pub. 2026-05-12upd. 2026-05-13

ChurchCRM w wersjach 7.2.0–7.2.2 pozostaje podatne na obejście uwierzytelnienia (Auth Bypass) z powodu niekompletnej poprawki dla CVE-2026-4058. Podatność ma ocenę CVSS 9.6 i jest aktywnie exploitowalna przy użyciu publicznie dostępnego PoC.

Pokaż oryginał (EN)

ChurchCRM is an open-source church management system. From 7.2.0 to 7.2.2, The fix for CVE-2026-4058 is incomplete. The hardening commit was merged and then silently stripped from src/api/routes/public/public-user.php by an unrelated PR before any 7.2.x tag was cut. Every shipped 7.2.x release therefore remains exploitable by the PoC published with the original advisory. This vulnerability is fixed in 7.3.1.

🤖 Analiza AI
Jak działa

Poprawka zabezpieczająca dla CVE-2026-4058 została pierwotnie włączona do kodu, lecz następnie została cicho usunięta z pliku src/api/routes/public/public-user.php przez niezwiązany pull request — jeszcze przed oznaczeniem tagami wersji 7.2.x. W efekcie wszystkie wydane wersje z gałęzi 7.2.x zostały opublikowane bez faktycznej ochrony. Podatność kwalifikuje się jako CWE-287 (nieprawidłowe uwierzytelnienie) oraz CWE-304 (brakujący krok krytyczny w procesie uwierzytelnienia). Atakujący może wykorzystać publicznie opublikowany kod PoC z oryginalnego zgłoszenia CVE-2026-4058.

Skutki

Atakujący z dostępem sieciowym i minimalnym poziomem uprawnień może ominąć mechanizm uwierzytelnienia, uzyskując nieautoryzowany dostęp do zasobów systemu z wysokim wpływem na poufność i integralność danych.

Mitygacja

Należy zaktualizować ChurchCRM do wersji 7.3.1, w której podatność została naprawiona. Wersje z gałęzi 7.2.x (7.2.0–7.2.2) są w całości podatne i nie powinny być używane.

Kogo dotyczy

ChurchCRM w wersjach 7.2.0, 7.2.1 oraz 7.2.2

Uwagi

Podatność wynika z regresu wprowadzonego niezwiązanym pull requestem (PR #8855), który usunął commit zabezpieczający przed oznaczeniem wersji tagami. Publiczny exploit (PoC) jest dostępny — pochodzi z oryginalnego zgłoszenia CVE-2026-4058.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje