CVE-2026-33534 in EspoCRM
Riassunto
di VulDB • 20/06/2026
EspoCRM è un'applicazione open source per la gestione delle relazioni con i clienti (CRM). Le versioni 9.3.3 e precedenti presentano una vulnerabilità di Server-Side Request Forgery (SSRF) autenticata che consente di eludere la logica di validazione degli host interni utilizzando rappresentazioni alternative dell'IPv4, come la notazione ottale (ad esempio, 0177.0.0.1 invece di 127.0.0.1). Ciò è causato dalla funzione HostCheck::isNotInternalHost(), che si affida a filter_var(..., FILTER_VALIDATE_IP) di PHP, il quale non riconosce i formati IP alternativi; ciò fa sì che la validazione passi oltre fino a una ricerca DNS che restituisce nessun record e tratta erroneamente l'host come sicuro. Tuttavia, cURL normalizza successivamente l'indirizzo e si connette alla destinazione loopback. Tramite il endpoint /api/v1/Attachment/fromImageUrl confermato, un utente autenticato può forzare il server a effettuare richieste verso servizi accessibili solo in loopback e memorizzare la risposta recuperata come allegato. Questa vulnerabilità è distinta da CVE-2023-46736 (che coinvolgeva SSRF basata su redirect) e potrebbe consentire l'accesso alle risorse interne raggiungibili dal runtime dell'applicazione. Questo problema è stato risolto nella versione 9.3.4.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.