CVE-2026-35573: Krytyczna luka w ChurchCRM umożliwiająca zdalne wykonanie kodu

Krytyczna luka w ChurchCRM przed 6.5.3 pozwala administratorom na zdalne wykonanie kodu przez nadpisanie plików .htaccess. Zalecana szybka aktualizacja.
CVE-2026-35573CVSS 9.1Web

CVE-2026-35573: Krytyczna luka w ChurchCRM umożliwiająca zdalne wykonanie kodu

Krytyczna luka w ChurchCRM przed 6.5.3 pozwala administratorom na zdalne wykonanie kodu przez nadpisanie plików .htaccess. Zalecana szybka aktualizacja.

CVSS
9.1 CRITICAL
EPSS
50.96%
Aktywnie wykorzystywana
brak w KEV
Produkt
churchcrm

Co wiadomo

W systemie ChurchCRM przed wersją 6.5.3 wykryto krytyczną lukę typu path traversal w funkcji przywracania kopii zapasowej. Uwierzytelnieni administratorzy mogą przesyłać pliki o dowolnej nazwie, nadpisując pliki konfiguracyjne Apache .htaccess i uzyskując zdalne wykonanie kodu.

Wpływ biznesowy

Luka ta stanowi poważne zagrożenie dla bezpieczeństwa serwerów z ChurchCRM, umożliwiając atakującym eskalację uprawnień i przejęcie kontroli nad systemem. Może to prowadzić do wycieku danych, zakłócenia działania usług oraz utraty integralności infrastruktury IT.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie ChurchCRM do wersji 6.5.3 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć dostęp do funkcji przywracania kopii zapasowej wyłącznie do zaufanych administratorów, monitorować logi systemowe pod kątem podejrzanej aktywności oraz przeprowadzić audyt uprawnień. Regularne przeglądy i szybkie wdrażanie poprawek są kluczowe dla minimalizacji ryzyka.

Źródła