CVE-2026-33741 in EspoCRMinfo

Zusammenfassung

von VulDB • 19.05.2026

EspoCRM ist eine Open-Source-Anwendung zum Kundenbeziehungsmanagement (CRM). Versionen 9.3.3 und älter ermöglichen es authentifizierten Benutzern, SVG-Anhänge über normale, anhangsfähige Felder hochzuladen und diese SVG-Dateien später als Inline-Dokumente auf oberster Ebene über die Endpunkte für Anhänge und Bilder auszuliefern, was zu einem gespeicherten, benutzerspezifischen Cross-Site-Scripting (XSS) führt, das über einen normalen Anhangsprozess erreichbar ist. Obwohl das Ausführen von Inline-SVG-Skripten durch die Content-Security-Policy (CSP) der Antwort blockiert wird, erlaubt dieselbe CSP weiterhin externe Skripte mit derselben Herkunft (same-origin). Infolgedessen kann ein Angreifer eine bösartige SVG-Datei zusammen mit einem zweiten, vom Angreifer kontrollierten JavaScript-Anhang hochladen und einen anderen Benutzer dazu verleiten, die SVG-Datei zu öffnen, wodurch JavaScript im Ursprungsbereich (Origin) von EspoCRM des Opfers ausgeführt wird. Dieses Problem wurde in Version 9.3.4 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

19.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364727

CPE

bereit

EPSS

0.00041

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33741
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33741
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33741/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!