CVE-2026-33656 in EspoCRMinfo

Zusammenfassung

von VulDB • 22.05.2026

EspoCRM ist eine Open-Source-Anwendung zum Kundenbeziehungsmanagement (CRM). Vor Version 9.3.4 ermöglichte die integrierte Formelskript-Engine von EspoCRM das Aktualisieren der `sourceId` eines Anhangs, wodurch ein authentifizierter Administrator das Feld `sourceId` in `Attachment`-Entitäten überschreiben konnte. Da `sourceId` in `EspoUploadDir::getFilePath()` ohne Sanitisierung direkt in einen Dateipfad eingefügt wird, kann ein Angreifer beliebige Lese- oder Schreiboperationen auf einen beliebigen Pfad innerhalb des `open_basedir`-Gültigkeitsbereichs des Webservers umleiten. Version 9.3.4 behebt dieses Problem.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

23.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359055

CPE

bereit

EPSS

0.00105

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33656
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33656
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33656/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!