CVE-2026-39337
CriticalSummary
ChurchCRM to system zarządzania kościołem typu open-source. W wersjach przed 7.1.0 występuje krytyczna podatność na zdalne wykonanie kodu przed uwierzytelnieniem w kreatorze instalacji, która pozwala nieautoryzowanym atakującym na wstrzykiwanie dowolnego kodu PHP, co prowadzi do całkowitego kompromitacji serwera.
Risk Assessment
Podatność ta stwarza poważne zagrożenie dla bezpieczeństwa organizacji, umożliwiając atakującym przejęcie kontroli nad serwerem. Niezastosowanie się do aktualizacji może prowadzić do utraty danych i naruszenia prywatności.
Recommendation
Zaleca się natychmiastowe zaktualizowanie ChurchCRM do wersji 7.1.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa systemu po aktualizacji.
Original NVD description (English source)
ChurchCRM is an open-source church management system. Prior to 7.1.0, critical pre-authentication remote code execution vulnerability in ChurchCRM's setup wizard allows unauthenticated attackers to inject arbitrary PHP code during the initial installation process, leading to complete server compromise. The "$dbPassword" variable is not sanitized. This vulnerability exists due to an incomplete fix for CVE-2025-62521. This vulnerability is fixed in 7.1.0.

