ChurchCRM Authenticated RCE via Unrestricted PHP File Write in Database Restore (CVE-2026-40484)

漏洞总结：ChurchCRM 数据库恢复功能中的远程代码执行漏洞 漏洞概述 漏洞名称：Authenticated Remote Code Execution via Unrestricted PHP File Write in Database Restore Function CVE ID：CVE-2026-40484 CVSS 评分：9.1/10 (Critical) 影响版本：ChurchCRM/CRM <= 7.1.2 修复版本：7.2.0 漏洞类型：未受限制的 PHP 文件写入导致远程代码执行 发现者：Ayhan Başyıldız (cyberah) 影响范围 攻击向量：网络 攻击复杂度：低 所需权限：高（需要管理员权限或通过 CSRF 劫持会话） 用户交互：无 影响： - 任意操作系统命令执行（以 www-data 用户身份） - 数据库凭证泄露（可读取 Include/Config.php） - 服务器环境中的横向移动 - 持久后门（shell 在应用重启后仍然存在） - 完整的机密性、完整性和可用性破坏 漏洞原理 在数据库备份恢复功能中，当管理员上传备份存档进行恢复时，应用程序会提取存档并将 Images/ 目录中的内容直接复制到 Web 可访问的文档根目录。该功能在复制操作期间未对文件扩展名进行过滤，攻击者可以构造包含 PHP webshell 的恶意 tar.gz 备份存档，将 PHP 文件写入到公开可访问的路径（如 Images/Person/ 或 Images/Family/），从而执行任意操作系统命令。 漏洞代码位置 主要文件：ChurchCRM/Backup/RestoreJob.php（第 138 行） 支持文件：ChurchCRM/utilities/FilesystemUtils.php（第 24-42 行） 利用代码 (POC) 步骤 1 - 构建恶意存档 步骤 2 - 通过恢复 API 上传（作为管理员） 步骤 3 - 确认 Webshell 放置 步骤 4 - 执行任意命令 修复方案 方案 1：添加扩展名白名单 在 函数中添加扩展名检查： 方案 2：存储到 Web 根目录外 将提取的图像存储在 Web 根目录之外，并通过验证内容类型的 PHP 控制器提供服务。 修复状态 已修复版本：7.2.0 修复 PR：#6510 修复内容：validateExtractedImages() 检查 MIME 类型并阻止 PHP/HTML 文件在复制到 Web 根目录之前

目標達成すべての支援者に感謝 — 100%達成しました！

ChurchCRM Authenticated RCE via Unrestricted PHP File Write in Database Restore (CVE-2026-40484)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

ChurchCRM Authenticated RCE via Unrestricted PHP File Write in Database Restore (CVE-2026-40484)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！