CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-39337

Critical
Published: Translated: NVD NIST

Summary

ChurchCRM to system zarządzania kościołem typu open-source. W wersjach przed 7.1.0 występuje krytyczna podatność na zdalne wykonanie kodu przed uwierzytelnieniem w kreatorze instalacji, która pozwala nieautoryzowanym atakującym na wstrzykiwanie dowolnego kodu PHP, co prowadzi do całkowitego kompromitacji serwera.

Risk Assessment

Podatność ta stwarza poważne zagrożenie dla bezpieczeństwa organizacji, umożliwiając atakującym przejęcie kontroli nad serwerem. Niezastosowanie się do aktualizacji może prowadzić do utraty danych i naruszenia prywatności.

Recommendation

Zaleca się natychmiastowe zaktualizowanie ChurchCRM do wersji 7.1.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa systemu po aktualizacji.

Original NVD description (English source)

ChurchCRM is an open-source church management system. Prior to 7.1.0, critical pre-authentication remote code execution vulnerability in ChurchCRM's setup wizard allows unauthenticated attackers to inject arbitrary PHP code during the initial installation process, leading to complete server compromise. The "$dbPassword" variable is not sanitized. This vulnerability exists due to an incomplete fix for CVE-2025-62521. This vulnerability is fixed in 7.1.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS