Platform
php
Component
churchcrm-crm
Opgelost in
7.2.1
CVE-2026-40484 beschrijft een Remote Code Execution (RCE) kwetsbaarheid in ChurchCRM, een open-source kerkbeheersysteem. Deze kwetsbaarheid stelt een geauthenticeerde beheerder in staat om schadelijke code uit te voeren op de server. De kwetsbaarheid treft versies van ChurchCRM van 0.0.0 tot en met 7.1.0. Een upgrade naar versie 7.2.0 is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren met de privileges van de webserver gebruiker. Dit kan leiden tot volledige controle over de server, inclusief toegang tot gevoelige gegevens, manipulatie van de database en installatie van malware. De impact is aanzienlijk, aangezien de aanvaller de mogelijkheid heeft om de gehele applicatie en de onderliggende infrastructuur te compromitteren. Dit is vergelijkbaar met scenario's waarbij webshells worden gebruikt om toegang te krijgen tot systemen en gevoelige informatie te stelen.
Deze kwetsbaarheid is openbaar bekend en de publicatie datum is 2026-04-17. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild, maar de ernst van de kwetsbaarheid (CRITICAL) en de mogelijkheid tot RCE vereisen onmiddellijke aandacht. De EPSS score is nog niet bekend, maar gezien de impact en de openbare bekendheid is een medium tot hoge waarschijnlijkheid van exploitatie te verwachten.
Churches and organizations using ChurchCRM versions 0.0.0 through 7.2.0 are at risk, particularly those with publicly accessible 'Images/' directories and inadequate file upload controls. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk due to potential cross-site contamination.
• wordpress / composer / npm:
grep -r 'recursiveCopyDirectory' /var/www/churchcrm/• generic web:
curl -I http://your-churchcrm-site.com/Images/webshell.php | grep 'Content-Type:'disclosure
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van ChurchCRM naar versie 7.2.0 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de uploadmogelijkheden voor backup bestanden en het zorgvuldig controleren van alle geüploade bestanden op schadelijke code. Het implementeren van een Web Application Firewall (WAF) met regels die het uploaden van PHP bestanden naar de Images/ directory blokkeren, kan ook helpen. Controleer de toegang tot de Images/ directory en zorg ervoor dat deze niet direct toegankelijk is via het web.
Actualice ChurchCRM a la versión 7.2.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige la falta de validación de extensiones de archivo y la ausencia de protección CSRF en la función de restauración de la base de datos, previniendo la ejecución remota de código.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40484 is a critical Remote Code Execution vulnerability in ChurchCRM versions 0.0.0 through 7.2.0. An authenticated admin can upload a malicious backup archive, leading to code execution.
If you are using ChurchCRM versions 0.0.0 through 7.2.0, you are potentially affected. Check your version and upgrade immediately if vulnerable.
Upgrade ChurchCRM to version 7.2.0 or later. As a temporary workaround, restrict file upload permissions for the 'Images/' directory and implement WAF rules.
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the ChurchCRM security advisories on their official website or GitHub repository for the latest information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.