प्लेटफ़ॉर्म
php
घटक
churchcrm-crm
में ठीक किया गया
7.2.1
CVE-2026-40484 ChurchCRM में एक रिमोट कोड एग्जीक्यूशन (RCE) भेद्यता है। यह भेद्यता हमलावरों को वेब सर्वर विशेषाधिकारों के साथ सिस्टम पर मनमाना कोड निष्पादित करने की अनुमति देती है। यह भेद्यता ChurchCRM के संस्करण 0.0.0 से 7.2.0 तक के संस्करणों को प्रभावित करती है। इस समस्या को ठीक करने के लिए ChurchCRM को संस्करण 7.2.0 में अपडेट करें।
यह भेद्यता हमलावरों के लिए ChurchCRM सर्वर पर पूर्ण नियंत्रण प्राप्त करना अपेक्षाकृत आसान बना सकती है। एक हमलावर बैकअप फ़ाइल में एक PHP वेबशेल अपलोड करके ऐसा कर सकता है, जिसे बाद में वेब सर्वर के माध्यम से निष्पादित किया जा सकता है। इससे हमलावर संवेदनशील डेटा तक पहुंच प्राप्त कर सकता है, सिस्टम को संशोधित कर सकता है, या अन्य सिस्टम पर हमला करने के लिए सर्वर का उपयोग कर सकता है। इस भेद्यता का उपयोग चर्च के सदस्यों की व्यक्तिगत जानकारी, दान रिकॉर्ड और अन्य संवेदनशील डेटा को चुराने के लिए किया जा सकता है। इसके अतिरिक्त, हमलावर सर्वर का उपयोग स्पैम भेजने या अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए कर सकता है। यह भेद्यता Log4Shell जैसी शोषण पैटर्न के समान है, जहां एक साधारण अपलोड हमला गंभीर परिणाम दे सकता है।
CVE-2026-40484 को अभी तक CISA KEV में शामिल नहीं किया गया है, लेकिन इसकी गंभीरता को देखते हुए, इसे भविष्य में शामिल किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हैं, जो इस भेद्यता के शोषण को आसान बनाते हैं। इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी उपलब्ध नहीं है। यह भेद्यता 2026-04-17 को प्रकाशित हुई थी।
Churches and organizations using ChurchCRM versions 0.0.0 through 7.2.0 are at risk, particularly those with publicly accessible 'Images/' directories and inadequate file upload controls. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk due to potential cross-site contamination.
• wordpress / composer / npm:
grep -r 'recursiveCopyDirectory' /var/www/churchcrm/• generic web:
curl -I http://your-churchcrm-site.com/Images/webshell.php | grep 'Content-Type:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.07% (21% शतमक)
CISA SSVC
CVE-2026-40484 के लिए प्राथमिक शमन ChurchCRM को संस्करण 7.2.0 में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो बैकअप फ़ंक्शन पर सख्त पहुंच नियंत्रण लागू करें, केवल विश्वसनीय उपयोगकर्ताओं को बैकअप फ़ाइलें अपलोड करने की अनुमति दें। वेब सर्वर के लिए फ़ाइल अपलोड आकार सीमा को कम करना और Images/ निर्देशिका में अपलोड की गई फ़ाइलों के लिए सख्त फ़ाइल प्रकार सत्यापन लागू करना भी सहायक हो सकता है। एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके दुर्भावनापूर्ण बैकअप फ़ाइलों को अपलोड करने के प्रयासों का पता लगाया जा सकता है और उन्हें अवरुद्ध किया जा सकता है।
ChurchCRM को संस्करण 7.2.0 या बाद के संस्करण में अपडेट करें ताकि भेद्यता कम हो सके। यह संस्करण फ़ाइल एक्सटेंशन के सत्यापन की कमी और डेटाबेस पुनर्स्थापना फ़ंक्शन में CSRF सुरक्षा की अनुपस्थिति को ठीक करता है, जिससे रिमोट कोड एग्जीक्यूशन को रोका जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40484 ChurchCRM में एक रिमोट कोड एग्जीक्यूशन भेद्यता है जो हमलावरों को वेब सर्वर के रूप में कोड निष्पादित करने की अनुमति देती है।
यदि आप ChurchCRM के संस्करण 0.0.0 से 7.2.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
ChurchCRM को संस्करण 7.2.0 में अपडेट करें।
CVE-2026-40484 का सक्रिय रूप से शोषण किया जा रहा है या नहीं, इसकी जानकारी अभी उपलब्ध नहीं है।
ChurchCRM की वेबसाइट पर जाएं और CVE-2026-40484 के लिए सुरक्षा सलाहकार खोजें।
CVSS वेक्टर
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।