CVE-2026-33534 in EspoCRMinfo

Zusammenfassung

von VulDB • 29.05.2026

EspoCRM ist eine Open-Source-Anwendung zum Kundenbeziehungsmanagement (CRM). Die Versionen 9.3.3 und älter weisen eine authentifizierte Server-Side Request Forgery (SSRF)-Schwachstelle auf, die es ermöglicht, die Validierungslogik für interne Hosts zu umgehen, indem alternative IPv4-Darstellungen wie die Oktalschreibweise verwendet werden (z. B. 0177.0.0.1 anstelle von 127.0.0.1). Dies wird durch die Funktion HostCheck::isNotInternalHost() verursacht, die sich auf PHPs filter_var(..., FILTER_VALIDATE_IP) stützt, welche alternative IP-Formate nicht erkennt. Dadurch fällt die Validierung auf eine DNS-Suche zurück, die keine Datensätze zurückgibt, und behandelt den Host fälschlicherweise als sicher. Anschließend normalisiert cURL die Adresse und stellt eine Verbindung zum Loopback-Ziel her. Über den bestätigten Endpunkt /api/v1/Attachment/fromImageUrl kann ein authentifizierter Benutzer den Server dazu zwingen, Anfragen an nur über Loopback erreichbare Dienste zu senden und die abgerufenen Antworten als Anhang zu speichern. Diese Schwachstelle unterscheidet sich von CVE-2023-46736 (die eine umleitungs basierte SSRF betraf) und kann den Zugriff auf interne Ressourcen ermöglichen, die vom Anwendungs-Laufzeitumgebung aus erreichbar sind. Dieses Problem wurde in Version 9.3.4 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

20.03.2026

Veröffentlichung

13.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357212

CPE

bereit

Exploit

Download

EPSS

0.01978

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!