ChurchCRM: 認証済みユーザーによるデータベース復元機能における制限のないPHPファイル書き込みを介したリモートコード実行
プラットフォーム
php
コンポーネント
churchcrm-crm
修正版
7.2.1
ChurchCRMはオープンソースの教会管理システムです。CVE-2026-40484は、バージョン7.2.0より前のChurchCRMにおいて、データベースのバックアップ復元機能に存在するリモートコード実行(RCE)脆弱性です。この脆弱性を悪用されると、攻撃者はウェブサーバーの権限で任意のコードを実行できてしまいます。影響を受けるバージョンは0.0.0から7.2.0未満です。バージョン7.2.0へのアップデートで修正されています。
影響と攻撃シナリオ
この脆弱性は、認証されたChurchCRMの管理者が、悪意のあるバックアップアーカイブをアップロードすることで、ウェブサーバー上で任意のコードを実行することを可能にします。攻撃者は、Images/ディレクトリ内にPHPウェブシェルを配置し、それをHTTPリクエスト経由で実行することで、システムへの完全な制御を獲得できます。これにより、機密データの窃取、システムの改ざん、さらには他のシステムへの攻撃の踏み台としての利用も考えられます。この脆弱性は、類似のファイルアップロード脆弱性と比べ、認証が必要であるものの、管理者が悪意のあるファイルを誤ってアップロードする可能性や、アカウントの乗っ取りなどを通じて悪用されるリスクがあります。
悪用の状況
この脆弱性は、2026年4月17日に公開されました。現時点では、KEV(Known Exploited Vulnerabilities)に登録されていません。公開されているPoC(Proof of Concept)は確認されていませんが、RCE脆弱性であるため、悪用コードが公開される可能性はあります。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)の情報を定期的に確認し、最新の脅威情報に注意してください。
リスク対象者翻訳中…
Churches and organizations using ChurchCRM versions 0.0.0 through 7.2.0 are at risk, particularly those with publicly accessible 'Images/' directories and inadequate file upload controls. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk due to potential cross-site contamination.
検出手順翻訳中…
• wordpress / composer / npm:
grep -r 'recursiveCopyDirectory' /var/www/churchcrm/• generic web:
curl -I http://your-churchcrm-site.com/Images/webshell.php | grep 'Content-Type:'攻撃タイムライン
- Disclosure
disclosure
脅威インテリジェンス
エクスプロイト状況
EPSS
0.07% (21% パーセンタイル)
CISA SSVC
CVSS ベクトル
これらのメトリクスの意味は?
- Attack Vector
- ネットワーク — インターネット経由でリモートから悪用可能。物理・ローカルアクセス不要。
- Attack Complexity
- 低 — 特別な条件不要。安定して悪用可能。
- Privileges Required
- 高 — 管理者または特権アカウントが必要。
- User Interaction
- なし — 自動かつ無音の攻撃。被害者は何もしない。
- Scope
- 変化あり — 攻撃が脆弱なコンポーネントを超えて他のシステムに波及可能。
- Confidentiality
- 高 — 機密性の完全喪失。全データが読み取り可能。
- Integrity
- 高 — 任意のデータの書き込み・変更・削除が可能。
- Availability
- 高 — 完全なクラッシュまたはリソース枯渇。完全なサービス拒否。
影響を受けるソフトウェア
弱点分類 (CWE)
タイムライン
- 予約済み
- 公開日
- 更新日
- EPSS 更新日
緩和策と回避策
ChurchCRMのバージョンを7.2.0にアップデートすることが最も効果的な対策です。アップデートが直ちに実行できない場合は、Images/ディレクトリへのファイルアップロードを制限するWAF(Web Application Firewall)ルールを実装することを検討してください。また、バックアップファイルの復元機能を一時的に無効化することも有効な回避策となります。バックアップファイルの整合性を検証する仕組みを導入し、不正なバックアップファイルがアップロードされないようにすることも重要です。アップデート後、ウェブサーバーのログを監視し、不審なアクティビティがないか確認してください。
修正方法翻訳中…
Actualice ChurchCRM a la versión 7.2.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige la falta de validación de extensiones de archivo y la ausencia de protección CSRF en la función de restauración de la base de datos, previniendo la ejecución remota de código.
CVEセキュリティニュースレター
脆弱性分析と重要アラートをメールでお届けします。
よくある質問
CVE-2026-40484 — RCE in ChurchCRMとは何ですか?
CVE-2026-40484は、ChurchCRM 7.2.0未満に存在するリモートコード実行(RCE)脆弱性です。悪意のあるバックアップファイルをアップロードすることで、攻撃者がサーバー上で任意のコードを実行できてしまいます。
CVE-2026-40484 in ChurchCRMの影響はありますか?
ChurchCRMのバージョンが7.2.0未満の場合、この脆弱性の影響を受けます。攻撃者は、ウェブサーバーの権限で任意のコードを実行できるため、機密情報の漏洩やシステムの改ざんなどの深刻な被害を受ける可能性があります。
CVE-2026-40484 in ChurchCRMを修正するにはどうすればよいですか?
ChurchCRMをバージョン7.2.0にアップデートすることで、この脆弱性を修正できます。アップデートが難しい場合は、WAFルールを実装するなど、一時的な回避策を検討してください。
CVE-2026-40484は積極的に悪用されていますか?
現時点では、CVE-2026-40484の悪用事例は確認されていませんが、RCE脆弱性であるため、悪用コードが公開される可能性はあります。常に最新の脅威情報に注意し、対策を講じる必要があります。
CVE-2026-40484に関するChurchCRMの公式アドバイザリはどこで入手できますか?
ChurchCRMの公式アドバイザリは、ChurchCRMのウェブサイトまたはセキュリティ関連のニュースサイトで確認できます。CVE-2026-40484に関する情報は、ChurchCRMのセキュリティページで公開されている可能性があります。