CVE-2026-33656 in EspoCRMinformación

Resumen

por VulDB • 2026-05-15

EspoCRM es una aplicación de gestión de relaciones con el cliente de código abierto. Antes de la versión 9.3.4, el motor de scripting de fórmulas integrado de EspoCRM permitía actualizar el `sourceId` de los archivos adjuntos, lo que permitía a un administrador autenticado sobrescribir el campo `sourceId` en las entidades `Attachment`. Dado que `sourceId` se concatena directamente en una ruta de archivo sin ninguna sanitización en `EspoUploadDir::getFilePath()`, un atacante puede redirigir cualquier operación de lectura o escritura de archivos a una ruta arbitraria dentro del ámbito `open_basedir` del servidor web. La versión 9.3.4 corrige el problema.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-04-23

Moderación

aceptado

Artículo

VDB-359055

CPE

listo

CWE

CWE-22 (confirmado)

CVSS

9.1 (CNA)

EPSS

0.00105

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33656
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33656
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33656/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!