Pubblicato il 2026-07-13 · Fonte: NVD NIST
La vulnerabilità CVE-2026-58409 colpisce il sistema di gestione per chiese ChurchCRM, consentendo a un amministratore autenticato di eseguire codice remoto sul server installando un archivio ZIP di plugin maligno. Ciò è possibile a causa di un errore nella lista di estensioni consentite e negate. La versione 7.4.0 ha risolto il problema. La vulnerabilità è classificata come critica con un CVSS Score di 9.1.
Un attaccante può sfruttare questa vulnerabilità per eseguire codice PHP arbitrario sul server, ottenendo accesso non autorizzato e potenzialmente compromettendo i dati sensibili gestiti dal sistema. I sistemi a rischio sono quelli che utilizzano versioni di ChurchCRM precedenti alla 7.4.0.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare ChurchCRM alla versione 7.4.0 o successiva. In assenza di un aggiornamento, è importante limitare l'accesso amministrativo e monitorare le attività del sistema per rilevare eventuali tentativi di sfruttamento della vulnerabilità.
La vulnerabilità CVE-2026-58409 è una vulnerabilità di esecuzione di codice remoto (RCE) nel sistema di gestione per chiese ChurchCRM.
La vulnerabilità può essere sfruttata installando un archivio ZIP di plugin maligno che contiene codice PHP.
Per proteggersi, è necessario aggiornare ChurchCRM alla versione 7.4.0 o successiva e limitare l'accesso amministrativo al sistema.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.