Plateforme
php
Composant
churchcrm-crm
Corrigé dans
7.2.1
La vulnérabilité CVE-2026-40484 est une faille d'exécution de code à distance (RCE) affectant ChurchCRM, un système de gestion d'église open-source. Cette faille permet à un administrateur authentifié d'uploader un fichier archive malveillant, ce qui peut conduire à l'exécution de code arbitraire sur le serveur. Elle concerne les versions de ChurchCRM antérieures à la version 7.2.0 et a été publiée le 17 avril 2026. Une mise à jour vers la version 7.2.0 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille pour exécuter du code malveillant sur le serveur ChurchCRM avec les privilèges de l'utilisateur du serveur web. Cela peut permettre à l'attaquant de compromettre l'ensemble du système, d'accéder à des données sensibles (informations sur les membres de l'église, données financières, etc.), de modifier des données, d'installer des logiciels malveillants ou d'utiliser le serveur comme point de pivot pour attaquer d'autres systèmes sur le réseau. La possibilité d'exécuter du code à distance rend cette vulnérabilité particulièrement dangereuse, similaire à d'autres failles RCE qui ont conduit à des violations de données importantes.
La vulnérabilité CVE-2026-40484 a été rendue publique le 17 avril 2026. Il n'y a pas d'indication qu'elle soit actuellement activement exploitée, mais sa sévérité critique (CVSS 9.1) justifie une attention immédiate. La disponibilité d'une preuve de concept (PoC) publique est probable, ce qui pourrait faciliter l'exploitation par des acteurs malveillants. Il est conseillé de surveiller les sources d'informations sur les menaces pour détecter toute activité suspecte.
Churches and organizations using ChurchCRM versions 0.0.0 through 7.2.0 are at risk, particularly those with publicly accessible 'Images/' directories and inadequate file upload controls. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk due to potential cross-site contamination.
• wordpress / composer / npm:
grep -r 'recursiveCopyDirectory' /var/www/churchcrm/• generic web:
curl -I http://your-churchcrm-site.com/Images/webshell.php | grep 'Content-Type:'disclosure
Statut de l'Exploit
EPSS
0.07% (percentile 21%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour ChurchCRM vers la version 7.2.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de restreindre l'accès à la fonctionnalité de sauvegarde et de restauration aux seuls administrateurs de confiance. De plus, il est possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes ciblant la fonctionnalité de sauvegarde et de restauration. Surveillez attentivement les journaux du serveur web pour détecter toute activité suspecte, notamment les tentatives d'accès à des fichiers PHP dans le répertoire 'Images/'.
Actualice ChurchCRM a la versión 7.2.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige la falta de validación de extensiones de archivo y la ausencia de protección CSRF en la función de restauración de la base de datos, previniendo la ejecución remota de código.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40484 is a critical Remote Code Execution vulnerability in ChurchCRM versions 0.0.0 through 7.2.0. An authenticated admin can upload a malicious backup archive, leading to code execution.
If you are using ChurchCRM versions 0.0.0 through 7.2.0, you are potentially affected. Check your version and upgrade immediately if vulnerable.
Upgrade ChurchCRM to version 7.2.0 or later. As a temporary workaround, restrict file upload permissions for the 'Images/' directory and implement WAF rules.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the ChurchCRM security advisories on their official website or GitHub repository for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.