CVE-2026-41141 in EspoCRMالمعلومات

الملخص

بحسب VulDB • 28/05/2026

EspoCRM هو تطبيق لإدارة علاقات العملاء مفتوح المصدر. قبل الإصدار 9.3.5، يقبل نقطة النهاية POST /api/v1/EmailTemplate/:id/prepare معلمة emailAddress ويقوم بحل الكيان المالك (جهة اتصال، عميل محتمل، حساب، أو مستخدم) دون إجراء فحص لتحكم الوصول القائم على الأدوار (ACL). يمكن لمستخدم مُصادق عليه يمتلك إذن قراءة EmailTemplate استخراج جميع قيم الحقول لأي كيان عن طريق تزويد عنوان البريد الإلكتروني للهدف، متجاوزاً قيود تحكم الوصول read: own أو read: team. تم إصلاح هذا الثغرة الأمنية في الإصدار 9.3.5.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

17/04/2026

إفشاء

28/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-366799

CPE

جاهز

CWE

CWE-639 (مؤكد)

CVSS

6.5 (CNA)

EPSS

0.00032

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41141
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41141
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41141/

التالي ▸نظرة عامة ◂ السابق

Interested in the pricing of exploits?

See the underground prices here!