CVE-2026-33740 in EspoCRMinfo

Zusammenfassung

von VulDB • 19.05.2026

EspoCRM ist eine Open-Source-Anwendung zum Kundenbeziehungsmanagement (CRM). In den Versionen 9.3.3 und niedriger enthält der Endpunkt POST /api/v1/Email/importEml eine Schwachstelle für Insecure Direct Object Reference (IDOR), bei der der vom Angreifer bereitgestellte Parameter `fileId` verwendet wird, um beliebige Anhänge direkt aus dem Repository abzurufen, ohne zu überprüfen, ob der aktuelle Benutzer über die erforderlichen Berechtigungen zum Zugriff verfügt. Jeder authentifizierte Benutzer mit den Berechtigungen `Email:create` und `Import` kann dies ausnutzen, um den Inhalt der .eml-Anhänge eines anderen Benutzers zu lesen, indem er diese als neue E-Mail in das Postfach des Angreifers importiert, wobei der ursprüngliche Anhangseintrag des Opfers als Nebenwirkung des Importvorgangs gelöscht wird. Dies steht im Widerspruch zum Standard-Pfad zum Herunterladen von Anhängen, der vor der Rückgabe der Dateidaten ACL-Prüfungen (Access Control Lists) erzwingt. Die praktische Ausnutzbarkeit ergibt sich daraus, dass Anhangs-IDs in normalen Benutzeroberflächen- und API-Workflows, wie z. B. Stream-Payloads und Download-Links, häufig offengelegt werden. Dieses Problem wurde in Version 9.3.4 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

14.04.2026

Moderieren

akzeptiert

Eintrag

VDB-357252

CPE

bereit

EPSS

0.00032

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33740
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33740
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33740/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!