CVE-2026-33741 in EspoCRMinformación

Resumen

por VulDB • 2026-05-19

EspoCRM es una aplicación de gestión de relaciones con clientes de código abierto. Las versiones 9.3.3 y anteriores permiten a los usuarios autenticados cargar archivos adjuntos SVG a través de campos normales con capacidad de adjuntos y, posteriormente, servir esos archivos SVG como documentos en línea de nivel superior a través de los puntos de entrada de adjuntos e imágenes, lo que resulta en una XSS almacenada entre usuarios alcanzable mediante un flujo de trabajo de adjuntos normal. Aunque el script SVG en línea está bloqueado por la CSP de respuesta, la misma CSP aún permite scripts externos del mismo origen. Como resultado, un atacante puede cargar un SVG malicioso junto con un segundo archivo adjunto de JavaScript controlado por el atacante, y luego engañar a otro usuario para que abra el SVG y ejecute JavaScript en el origen de EspoCRM de la víctima. Este problema se ha corregido en la versión 9.3.4.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-05-19

Moderación

aceptado

Artículo

VDB-364727

CPE

listo

EPSS

0.00041

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33741
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33741
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33741/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!