CVE-2026-35573: Krytyczna luka w ChurchCRM umożliwiająca zdalne wykonanie kodu
Krytyczna luka w ChurchCRM przed 6.5.3 pozwala administratorom na zdalne wykonanie kodu przez nadpisanie plików .htaccess. Zalecana szybka aktualizacja.
- CVSS
- 9.1 CRITICAL
- EPSS
- 50.96%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- churchcrm
Co wiadomo
W systemie ChurchCRM przed wersją 6.5.3 wykryto krytyczną lukę typu path traversal w funkcji przywracania kopii zapasowej. Uwierzytelnieni administratorzy mogą przesyłać pliki o dowolnej nazwie, nadpisując pliki konfiguracyjne Apache .htaccess i uzyskując zdalne wykonanie kodu.
Wpływ biznesowy
Luka ta stanowi poważne zagrożenie dla bezpieczeństwa serwerów z ChurchCRM, umożliwiając atakującym eskalację uprawnień i przejęcie kontroli nad systemem. Może to prowadzić do wycieku danych, zakłócenia działania usług oraz utraty integralności infrastruktury IT.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie ChurchCRM do wersji 6.5.3 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do funkcji przywracania kopii zapasowej wyłącznie do zaufanych administratorów, monitorować logi systemowe pod kątem podejrzanej aktywności oraz przeprowadzić audyt uprawnień. Regularne przeglądy i szybkie wdrażanie poprawek są kluczowe dla minimalizacji ryzyka.