CVE-2026-33656 in EspoCRMinformation

Résumé

par VulDB • 21/05/2026

EspoCRM est une application de gestion de la relation client (CRM) open source. Avant la version 9.3.4, le moteur de script de formules intégré d'EspoCRM permettait de mettre à jour le `sourceId` des pièces jointes, autorisant ainsi un administrateur authentifié à écraser le champ `sourceId` sur les entités `Attachment`. Étant donné que `sourceId` est concaténé directement dans un chemin de fichier sans aucune sanitization dans `EspoUploadDir::getFilePath()`, un attaquant peut rediriger toute opération de lecture ou d'écriture de fichier vers un chemin arbitraire dans la portée `open_basedir` du serveur web. La version 9.3.4 corrige ce problème.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

23/03/2026

Divulgation

23/04/2026

Modérer

accepté

Entrée

VDB-359055

CPE

prêt

EPSS

0.00105

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33656
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33656
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33656/

PrécédentAperçuSuivant

Do you need the next level of professionalism?

Upgrade your account now!