CVE-2026-40484: Віддалене виконання коду в ChurchCRM через відновлення резервної копії

Вразливість CVE-2026-40484 у ChurchCRM дозволяє віддалене виконання коду через функцію відновлення резервної копії. Оновіть до версії 7.2.0 для захисту.
CVE-2026-40484CVSS 9.1Web

CVE-2026-40484: Віддалене виконання коду в ChurchCRM через відновлення резервної копії

Вразливість CVE-2026-40484 у ChurchCRM дозволяє віддалене виконання коду через функцію відновлення резервної копії. Оновіть до версії 7.2.0 для захисту.

CVSS
9.1 CRITICAL
EPSS
54.27%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У ChurchCRM до версії 7.2.0 функція відновлення резервної копії бази даних дозволяє автентифікованому адміністратору завантажувати архіви з шкідливими PHP-файлами, які потім виконуються через веб-сервер, що призводить до віддаленого виконання коду. Відсутність перевірки CSRF токенів посилює ризик експлуатації.

Бізнес-вплив

Ця вразливість дозволяє зловмиснику з правами адміністратора отримати повний контроль над сервером через виконання довільного коду, що може призвести до компрометації даних, порушення роботи системи та втрати довіри користувачів. Власникам інфраструктури слід терміново оцінити ризики і вжити заходів для захисту.

Рекомендовані дії адміністратора

Рекомендується негайно оновити ChurchCRM до версії 7.2.0 або новішої, де ця вразливість виправлена. Якщо оновлення неможливе, слід обмежити доступ до функції відновлення резервних копій, перевірити журнали на ознаки зловмисної активності та впровадити додаткові заходи безпеки, такі як захист від CSRF.

Джерела