CVE-2026-39337
KrytyczneStreszczenie
ChurchCRM to system zarządzania kościołem typu open-source. W wersjach przed 7.1.0 występuje krytyczna podatność na zdalne wykonanie kodu przed uwierzytelnieniem w kreatorze instalacji, która pozwala nieautoryzowanym atakującym na wstrzykiwanie dowolnego kodu PHP, co prowadzi do całkowitego kompromitacji serwera.
Ocena ryzyka
Podatność ta stwarza poważne zagrożenie dla bezpieczeństwa organizacji, umożliwiając atakującym przejęcie kontroli nad serwerem. Niezastosowanie się do aktualizacji może prowadzić do utraty danych i naruszenia prywatności.
Rekomendacja
Zaleca się natychmiastowe zaktualizowanie ChurchCRM do wersji 7.1.0 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt bezpieczeństwa systemu po aktualizacji.
Oryginalny opis (angielski, źródło NVD)
ChurchCRM is an open-source church management system. Prior to 7.1.0, critical pre-authentication remote code execution vulnerability in ChurchCRM's setup wizard allows unauthenticated attackers to inject arbitrary PHP code during the initial installation process, leading to complete server compromise. The "$dbPassword" variable is not sanitized. This vulnerability exists due to an incomplete fix for CVE-2025-62521. This vulnerability is fixed in 7.1.0.

