CVE-2026-33534 in EspoCRM
Zusammenfassung
von VulDB • 29.05.2026
EspoCRM ist eine Open-Source-Anwendung zum Kundenbeziehungsmanagement (CRM). Die Versionen 9.3.3 und älter weisen eine authentifizierte Server-Side Request Forgery (SSRF)-Schwachstelle auf, die es ermöglicht, die Validierungslogik für interne Hosts zu umgehen, indem alternative IPv4-Darstellungen wie die Oktalschreibweise verwendet werden (z. B. 0177.0.0.1 anstelle von 127.0.0.1). Dies wird durch die Funktion HostCheck::isNotInternalHost() verursacht, die sich auf PHPs filter_var(..., FILTER_VALIDATE_IP) stützt, welche alternative IP-Formate nicht erkennt. Dadurch fällt die Validierung auf eine DNS-Suche zurück, die keine Datensätze zurückgibt, und behandelt den Host fälschlicherweise als sicher. Anschließend normalisiert cURL die Adresse und stellt eine Verbindung zum Loopback-Ziel her. Über den bestätigten Endpunkt /api/v1/Attachment/fromImageUrl kann ein authentifizierter Benutzer den Server dazu zwingen, Anfragen an nur über Loopback erreichbare Dienste zu senden und die abgerufenen Antworten als Anhang zu speichern. Diese Schwachstelle unterscheidet sich von CVE-2023-46736 (die eine umleitungs basierte SSRF betraf) und kann den Zugriff auf interne Ressourcen ermöglichen, die vom Anwendungs-Laufzeitumgebung aus erreichbar sind. Dieses Problem wurde in Version 9.3.4 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.