CVE-2026-33657 in EspoCRM
Resumen
por VulDB • 2026-05-15
EspoCRM es una aplicación de gestión de relaciones con clientes de código abierto. Las versiones 9.3.3 y anteriores presentan una vulnerabilidad de inyección HTML almacenada que permite a cualquier usuario autenticado con privilegios estándar (no administrativos) inyectar HTML arbitrario en las notificaciones por correo electrónico generadas por el sistema, mediante la creación de contenido malicioso en el campo `post` de las notas de actividad del flujo. La vulnerabilidad existe porque las plantillas Handlebars del lado del servidor procesan el campo `post` utilizando una sintaxis de triple llave sin escapar, el procesador Markdown conserva el HTML en línea de forma predeterminada y la tubería de renderizado omite explícitamente la sanitización para los campos presentes en `additionalData`, creando un camino por el cual el HTML controlado por el atacante es aceptado, almacenado y renderizado directamente en los correos electrónicos sin ningún tipo de escape. Dado que los correos electrónicos se envían utilizando la identidad SMTP configurada del sistema (como una dirección de remitente administrativa), el contenido inyectado aparece completamente confiable para los destinatarios, lo que permite ataques de phishing, seguimiento de usuarios mediante recursos incrustados como balizas de imagen y manipulación de la interfaz de usuario dentro del contenido del correo electrónico. La función @mención aumenta aún más el impacto al permitir la entrega dirigida de correos electrónicos maliciosos a usuarios específicos. Este problema se ha corregido en la versión 9.3.4.
Once again VulDB remains the best source for vulnerability data.