🔴 《严重安全漏洞:CVE-2026-58409》

CVSS 评分: 严重(9.1)  状态: Received  发布时间: 2026-07-13


漏洞简介

CVE-2026-58409 是一个存在于 ChurchCRM(一款开源的教堂管理系统)中的高危安全漏洞,属于 远程代码执行(Remote Code Execution, RCE) 类型。该漏洞的根源在于软件对插件安装过程中的文件类型验证存在严重缺陷,具体涉及 CWE-434(危险文件上传漏洞)

在 ChurchCRM 7.4.0 版本之前,拥有管理员权限的认证用户可以通过安装恶意插件 ZIP 压缩包,在服务器上实现远程代码执行。该 ZIP 压缩包中包含一个 PHP 网页后门(webshell)。问题出在以下两个方面:

  1. 允许扩展名列表(ALLOWED_EXTENSIONS) 明确包含了 php 扩展名,而 危险扩展名拒绝列表(DENIED_EXTENSIONS) 却未能阻止标准的 .php 文件。
  2. 由于 php 被明确列入插件压缩包的允许扩展名列表,且解压后的文件被直接放置在 Web 根目录下,因此 ZIP 中的任何 PHP 文件都可以通过 HTTP 直接执行——甚至无需通过应用程序界面“启用”该插件。

此外,/plugins/install-url API 路由(位于 management.php)允许管理员从任何攻击者控制的 HTTPS URL 下载恶意 ZIP 文件,并且仅通过攻击者提供的 SHA-256 哈希值进行验证,这进一步降低了攻击门槛。

该漏洞已在 ChurchCRM 7.4.0 版本中修复。

影响范围

  • 受影响版本:ChurchCRM 7.4.0 之前的所有版本
  • 修复版本:ChurchCRM 7.4.0
  • 攻击条件:需要拥有管理员权限的认证用户(Authenticated Administrator)
  • 攻击向量:网络远程攻击(AV:N)
  • 攻击复杂度:低(AC:L)

风险分析

该漏洞的 CVSS 3.1 评分为 10.0(严重),向量为 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H,具体风险如下:

  • 机密性(Confidentiality):攻击者可以读取服务器上的任意文件,包括数据库配置、用户凭证、敏感数据等。
  • 完整性(Integrity):攻击者可以修改服务器上的文件,植入恶意代码或篡改系统配置。
  • 可用性(Availability):攻击者可以执行任意系统命令,可能导致服务中断或完全控制服务器。
  • 影响范围(Scope):漏洞影响范围已改变(Changed),即攻击者可以利用该漏洞突破受影响的组件,进而影响整个服务器环境。

可能的攻击后果

  • 攻击者通过上传包含 PHP webshell 的恶意插件,获得对服务器的完全控制权。
  • 利用该 webshell,攻击者可以执行任意系统命令、横向移动、窃取数据、安装持久化后门,甚至将受感染的服务器作为跳板攻击内部网络。
  • 由于攻击者仅需管理员权限即可触发,且无需用户交互,该漏洞在拥有管理员账户的环境中极易被利用。

总结:CVE-2026-58409 是一个严重级别的远程代码执行漏洞,允许认证管理员通过安装恶意插件完全控制服务器。建议所有使用 ChurchCRM 的用户立即升级至 7.4.0 或更高版本。


🔍 技术细节

字段
CVE ID CVE-2026-58409
CVSS 评分 9.1 🔴
严重程度 严重
CVSS 向量 CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
CWE 分类 CWE-434
发布时间 2026-07-13
最后更新 2026-07-13
状态 Received
数据来源 security-advisories@github.com

🔗 参考链接