CVE-2026-35573: Уразливість обходу шляху в ChurchCRM до версії 6.5.3

Критична уразливість в ChurchCRM до 6.5.3 дозволяє адміністраторам завантажувати довільні файли та виконувати віддалений код через .htaccess. Оновіть систему.
CVE-2026-35573CVSS 9.1Web

CVE-2026-35573: Уразливість обходу шляху в ChurchCRM до версії 6.5.3

Критична уразливість в ChurchCRM до 6.5.3 дозволяє адміністраторам завантажувати довільні файли та виконувати віддалений код через .htaccess. Оновіть систему.

CVSS
9.1 CRITICAL
EPSS
50.96%
Активно використовується
немає в KEV
Продукт
churchcrm

Що відомо

У ChurchCRM виявлено критичну уразливість обходу шляху в функції відновлення резервних копій, що дозволяє автентифікованим адміністраторам завантажувати довільні файли та виконувати віддалений код шляхом перезапису конфігураційних файлів Apache .htaccess. Проблема виправлена у версії 6.5.3.

Бізнес-вплив

Ця уразливість може призвести до повного компрометації веб-сервера, що працює з ChurchCRM, через можливість віддаленого виконання коду. Власники інфраструктури ризикують втратити контроль над системою, що може спричинити витік даних або порушення роботи сервісу. ІТ-оператори повинні терміново оцінити використання вразливої версії та вжити заходів для мінімізації ризиків.

Рекомендовані дії адміністратора

Рекомендується негайно оновити ChurchCRM до версії 6.5.3 або новішої, де уразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до функції відновлення резервних копій, перевірити журнали на ознаки зловмисної активності та зменшити експозицію сервера в мережі. Також варто регулярно переглядати політики безпеки та впроваджувати багатофакторну автентифікацію для адміністративних облікових записів.

Джерела