ChurchCRM: Execução Remota de Código Autenticada via Escrita de Arquivo PHP Ilimitada na Função de Restauração do Banco de Dados
Plataforma
php
Componente
churchcrm-crm
Corrigido em
7.2.1
A vulnerabilidade CVE-2026-40484 é uma falha de Execução Remota de Código (RCE) presente no ChurchCRM, um sistema de gerenciamento de igrejas de código aberto. Essa falha permite que um administrador autenticado execute código arbitrário no servidor, comprometendo a integridade e confidencialidade dos dados. A vulnerabilidade afeta versões do ChurchCRM anteriores à 7.2.0 e foi divulgada em 17 de abril de 2026. A correção foi disponibilizada na versão 7.2.0.
Impacto e Cenários de Ataque
Um atacante pode explorar essa vulnerabilidade para obter controle total sobre o servidor ChurchCRM. Ao enviar um arquivo de backup malicioso contendo um webshell PHP, o atacante pode, após a restauração, acessar o webshell através de requisições HTTP. Isso permite a execução de comandos arbitrários no sistema com as permissões do usuário do servidor web, possibilitando a exfiltração de dados sensíveis, a modificação de informações do sistema e até mesmo o uso do servidor como ponto de apoio para ataques a outros sistemas na rede. A falta de filtragem de extensão durante a cópia de arquivos torna a exploração relativamente simples, especialmente para atacantes com conhecimento em desenvolvimento web.
Contexto de Exploração
A vulnerabilidade foi divulgada publicamente em 17 de abril de 2026. A ausência de informações sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) sugere que, até o momento, não há campanhas de exploração em larga escala. No entanto, a facilidade de exploração e a criticidade da vulnerabilidade a tornam um alvo potencial para atacantes. É recomendável monitorar as fontes de inteligência de ameaças para identificar possíveis atividades maliciosas.
Quem Está em Riscotraduzindo…
Churches and organizations using ChurchCRM versions 0.0.0 through 7.2.0 are at risk, particularly those with publicly accessible 'Images/' directories and inadequate file upload controls. Shared hosting environments where multiple ChurchCRM instances reside are also at increased risk due to potential cross-site contamination.
Passos de Detecçãotraduzindo…
• wordpress / composer / npm:
grep -r 'recursiveCopyDirectory' /var/www/churchcrm/• generic web:
curl -I http://your-churchcrm-site.com/Images/webshell.php | grep 'Content-Type:'Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Alto — conta de administrador ou privilegiada necessária.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Alterado — o ataque pode pivotar para além do componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para essa vulnerabilidade é a atualização imediata para a versão 7.2.0 do ChurchCRM, que corrige a falha de filtragem de extensão. Se a atualização imediata não for possível, considere as seguintes medidas temporárias: desative temporariamente a funcionalidade de backup e restauração até que a atualização possa ser aplicada. Implemente regras em um Web Application Firewall (WAF) para bloquear o upload de arquivos com extensões potencialmente perigosas, como .php, .jsp, .asp, etc. Monitore os logs do servidor web em busca de atividades suspeitas, como requisições para arquivos inesperados no diretório 'Images/'.
Como corrigirtraduzindo…
Actualice ChurchCRM a la versión 7.2.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige la falta de validación de extensiones de archivo y la ausencia de protección CSRF en la función de restauración de la base de datos, previniendo la ejecución remota de código.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2026-40484 — RCE in ChurchCRM?
CVE-2026-40484 is a critical Remote Code Execution vulnerability in ChurchCRM versions 0.0.0 through 7.2.0. An authenticated admin can upload a malicious backup archive, leading to code execution.
Am I affected by CVE-2026-40484 in ChurchCRM?
If you are using ChurchCRM versions 0.0.0 through 7.2.0, you are potentially affected. Check your version and upgrade immediately if vulnerable.
How do I fix CVE-2026-40484 in ChurchCRM?
Upgrade ChurchCRM to version 7.2.0 or later. As a temporary workaround, restrict file upload permissions for the 'Images/' directory and implement WAF rules.
Is CVE-2026-40484 being actively exploited?
While no active exploitation campaigns have been confirmed, the vulnerability's severity and ease of exploitation make it a likely target.
Where can I find the official ChurchCRM advisory for CVE-2026-40484?
Refer to the ChurchCRM security advisories on their official website or GitHub repository for the latest information and updates.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.