Katalog CVE

CVE-2026-35573

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

ChurchCRM to system zarządzania kościołem typu open-source. Przed wersją 6.5.3 występowała podatność typu path traversal w funkcjonalności przywracania kopii zapasowych, która pozwalała uwierzytelnionym administratorom na przesyłanie dowolnych plików i uzyskanie zdalnego wykonania kodu poprzez nadpisanie plików konfiguracyjnych Apache .htaccess.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla organizacji, umożliwiając atakującym uzyskanie pełnej kontroli nad serwerem poprzez zdalne wykonanie kodu. Może to prowadzić do wycieku danych lub przejęcia systemu.

Rekomendacja

Zaleca się aktualizację do wersji 6.5.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa systemu w celu zidentyfikowania potencjalnych zagrożeń.

Oryginalny opis (angielski, źródło NVD)

ChurchCRM is an open-source church management system. Prior to 6.5.3, a path traversal vulnerability in ChurchCRM's backup restore functionality allows authenticated administrators to upload arbitrary files and achieve remote code execution by overwriting Apache .htaccess configuration files. The vulnerability exists in src/ChurchCRM/Backup/RestoreJob.php. The $rawUploadedFile['name'] parameter is user-controlled and allows uploading files with arbitrary names to /var/www/html/tmp_attach/ChurchCRMBackups/. This vulnerability is fixed in 6.5.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS