ChurchCRM w wersjach 7.2.0–7.2.2 pozostaje podatne na obejście uwierzytelnienia (Auth Bypass) z powodu niekompletnej poprawki dla CVE-2026-4058. Podatność ma ocenę CVSS 9.6 i jest aktywnie exploitowalna przy użyciu publicznie dostępnego PoC.
▸ Pokaż oryginał (EN)
ChurchCRM is an open-source church management system. From 7.2.0 to 7.2.2, The fix for CVE-2026-4058 is incomplete. The hardening commit was merged and then silently stripped from src/api/routes/public/public-user.php by an unrelated PR before any 7.2.x tag was cut. Every shipped 7.2.x release therefore remains exploitable by the PoC published with the original advisory. This vulnerability is fixed in 7.3.1.
Poprawka zabezpieczająca dla CVE-2026-4058 została pierwotnie włączona do kodu, lecz następnie została cicho usunięta z pliku src/api/routes/public/public-user.php przez niezwiązany pull request — jeszcze przed oznaczeniem tagami wersji 7.2.x. W efekcie wszystkie wydane wersje z gałęzi 7.2.x zostały opublikowane bez faktycznej ochrony. Podatność kwalifikuje się jako CWE-287 (nieprawidłowe uwierzytelnienie) oraz CWE-304 (brakujący krok krytyczny w procesie uwierzytelnienia). Atakujący może wykorzystać publicznie opublikowany kod PoC z oryginalnego zgłoszenia CVE-2026-4058.
Atakujący z dostępem sieciowym i minimalnym poziomem uprawnień może ominąć mechanizm uwierzytelnienia, uzyskując nieautoryzowany dostęp do zasobów systemu z wysokim wpływem na poufność i integralność danych.
Należy zaktualizować ChurchCRM do wersji 7.3.1, w której podatność została naprawiona. Wersje z gałęzi 7.2.x (7.2.0–7.2.2) są w całości podatne i nie powinny być używane.
ChurchCRM w wersjach 7.2.0, 7.2.1 oraz 7.2.2
Podatność wynika z regresu wprowadzonego niezwiązanym pull requestem (PR #8855), który usunął commit zabezpieczający przed oznaczeniem wersji tagami. Publiczny exploit (PoC) jest dostępny — pochodzi z oryginalnego zgłoszenia CVE-2026-4058.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N