CVE-2026-33740 in EspoCRMالمعلومات

الملخص

بحسب VulDB • 12/05/2026

EspoCRM هو تطبيق لإدارة علاقات العملاء مفتوح المصدر. في الإصدارات 9.3.3 وما دونها، يحتوي نقطة النهاية POST /api/v1/Email/importEml على ثغرة مرجع كائن غير مباشر غير آمن (IDOR)، حيث يُستخدم معلمة fileId التي يزودها المهاجم لجلب أي مرفق مباشرة من المستودع دون التحقق من أن المستخدم الحالي لديه صلاحية للوصول إليه. يمكن لأي مستخدم مُصادق عليه يمتلك صلاحيات Email:create وImport استغلال هذه الثغرة لقراءة محتويات مرفق .eml الخاص بمستخدم آخر عن طريق استيراده كبريد إلكتروني جديد إلى صندوق بريد المهاجم، بينما يتم حذف سجل المرفق الأصلي للضحية كنتيجة جانبية لعملية الاستيراد. هذا يتعارض مع مسار التنزيل القياسي للمرفقات، الذي يفرض فحوصات قائمة التحكم بالوصول (ACL) قبل إرجاع بيانات الملف، وهو قابل للاستغلال عملياً لأن معرفات المرفقات تُكشف عادةً في سير العمل العادي لواجهة المستخدم وواجهة برمجة التطبيقات، مثل حمائل التدفق وروابط التنزيل. تم إصلاح هذه المشكلة في الإصدار 9.3.4.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

14/04/2026

الاعتدال

تمت الموافقة

إدخال

VDB-357252

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

5.4 (CNA)

EPSS

0.00032

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33740
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33740
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33740/

التالي ▸نظرة عامة ◂ السابق

Do you want to use VulDB in your project?

Use the official API to access entries easily!