CVE-2026-33657 in EspoCRM
Résumé
par VulDB • 23/05/2026
EspoCRM est une application de gestion de la relation client (CRM) open source. Les versions 9.3.3 et inférieures présentent une vulnérabilité d'injection HTML stockée (stored HTML injection) qui permet à tout utilisateur authentifié disposant de privilèges standard (non administratifs) d'injecter du HTML arbitraire dans les notifications par email générées par le système, en créant un contenu malveillant dans le champ « post » des notes d'activité de flux. La vulnérabilité existe car les modèles Handlebars côté serveur rendent le champ « post » en utilisant une syntaxe à triple accolades non échappée, le processeur Markdown conserve le HTML en ligne par défaut, et le pipeline de rendu saute explicitement la sanitisation pour les champs présents dans additionalData, créant ainsi un vecteur par lequel le HTML contrôlé par l'attaquant est accepté, stocké et rendu directement dans les emails sans aucune échappement. Étant donné que les emails sont envoyés en utilisant l'identité SMTP configurée par le système (telle qu'une adresse d'expéditeur administrative), le contenu injecté apparaît comme entièrement fiable pour les destinataires, permettant des attaques de phishing, le suivi des utilisateurs via des ressources intégrées telles que des image beacons, et la manipulation de l'interface utilisateur au sein du contenu des emails. La fonctionnalité @mention augmente encore l'impact en permettant la livraison ciblée d'emails malveillants à des utilisateurs spécifiques. Ce problème a été corrigé dans la version 9.3.4.
VulDB is the best source for vulnerability data and more expert information about this specific topic.