Plateforme
php
Composant
churchcrm-crm
Corrigé dans
6.5.4
Une vulnérabilité d'exécution de code à distance (RCE) a été découverte dans ChurchCRM, un système de gestion d'église open-source. Cette faille, présente dans les versions 6.5.0 à 6.5.2, exploite une faiblesse de traversal de chemin dans la fonctionnalité de sauvegarde et de restauration. Elle permet à un administrateur authentifié de télécharger des fichiers arbitraires et d'exécuter du code à distance en écrasant les fichiers de configuration .htaccess d'Apache. La version 6.5.3 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est critique. Un attaquant authentifié peut exploiter cette faille pour télécharger des fichiers malveillants sur le serveur ChurchCRM, notamment des scripts PHP. En écrasant les fichiers .htaccess, l'attaquant peut modifier la configuration du serveur web Apache, permettant ainsi l'exécution de code arbitraire sur le serveur. Cela peut conduire à la prise de contrôle complète du serveur, à la compromission des données sensibles des membres de l'église (informations personnelles, données financières, etc.) et à l'utilisation du serveur pour des activités malveillantes, telles que l'envoi de spam ou l'hébergement de contenu illégal. L'exploitation réussie pourrait également permettre un accès latéral au réseau interne de l'organisation, si ChurchCRM est accessible depuis ce réseau.
Cette vulnérabilité a été rendue publique le 7 avril 2026. Aucune preuve d'exploitation active n'est actuellement disponible, mais la nature critique de la vulnérabilité et la facilité d'exploitation potentielle la rendent préoccupante. Il est probable que des outils d'exploitation automatisés soient développés prochainement. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA au moment de la rédaction.
Churches and religious organizations utilizing ChurchCRM versions 6.5.0 through 6.5.2 are at immediate risk. Shared hosting environments where ChurchCRM is installed are particularly vulnerable, as a compromise of one account could potentially impact other users on the same server. Organizations relying on ChurchCRM for sensitive member data and financial management are especially vulnerable.
• linux / server: Monitor Apache access logs for unusual file uploads to /var/www/html/tmp_attach/ChurchCRMBackups/. Look for attempts to upload files with names containing .htaccess or other potentially malicious extensions.
grep -i 'tmp_attach/ChurchCRMBackups/.*\.htaccess' /var/log/apache2/access.log• generic web: Use curl to test the backup restore endpoint with a malicious filename. Check the server's response for any errors or unexpected behavior.
curl -X POST -F '[email protected]' <churchcrm_url>/backup/restore.phpdisclosure
Statut de l'Exploit
EPSS
0.34% (percentile 57%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour ChurchCRM vers la version 6.5.3. Si la mise à jour n'est pas possible immédiatement, une solution temporaire consiste à restreindre les droits d'écriture sur le répertoire /var/www/html/tmp_attach/ChurchCRMBackups/. Il est également recommandé de configurer un pare-feu d'application web (WAF) pour bloquer les tentatives d'upload de fichiers avec des noms malveillants ou des extensions suspectes. Surveillez attentivement les fichiers .htaccess pour détecter toute modification non autorisée. Après la mise à jour, vérifiez l'intégrité des fichiers du système ChurchCRM en comparant les sommes de contrôle (checksums) avec les valeurs attendues.
Mettez à jour ChurchCRM à la version 6.5.3 ou ultérieure pour atténuer la vulnérabilité de parcours de répertoire. Cette mise à jour corrige le problème en validant correctement les noms de fichiers téléchargés, empêchant ainsi la possibilité d'écraser les fichiers de configuration Apache .htaccess.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-35573 is a critical Remote Code Execution vulnerability affecting ChurchCRM versions 6.5.0 through 6.5.2, allowing authenticated administrators to upload arbitrary files and execute code.
If you are running ChurchCRM version 6.5.0, 6.5.1, or 6.5.2, you are vulnerable to this RCE vulnerability. Upgrade to 6.5.3 immediately.
The recommended fix is to upgrade ChurchCRM to version 6.5.3 or later. As a temporary workaround, restrict file upload permissions and disable .htaccess overrides.
While no active exploitation campaigns have been publicly reported, the vulnerability's severity and ease of exploitation make it a likely target for attackers.
Refer to the ChurchCRM security advisory for detailed information and updates: [https://www.churchcrm.org/security/advisories](https://www.churchcrm.org/security/advisories)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.