CVE-2026-33534 in EspoCRMinformazioni

Riassunto

di VulDB • 20/06/2026

EspoCRM è un'applicazione open source per la gestione delle relazioni con i clienti (CRM). Le versioni 9.3.3 e precedenti presentano una vulnerabilità di Server-Side Request Forgery (SSRF) autenticata che consente di eludere la logica di validazione degli host interni utilizzando rappresentazioni alternative dell'IPv4, come la notazione ottale (ad esempio, 0177.0.0.1 invece di 127.0.0.1). Ciò è causato dalla funzione HostCheck::isNotInternalHost(), che si affida a filter_var(..., FILTER_VALIDATE_IP) di PHP, il quale non riconosce i formati IP alternativi; ciò fa sì che la validazione passi oltre fino a una ricerca DNS che restituisce nessun record e tratta erroneamente l'host come sicuro. Tuttavia, cURL normalizza successivamente l'indirizzo e si connette alla destinazione loopback. Tramite il endpoint /api/v1/Attachment/fromImageUrl confermato, un utente autenticato può forzare il server a effettuare richieste verso servizi accessibili solo in loopback e memorizzare la risposta recuperata come allegato. Questa vulnerabilità è distinta da CVE-2023-46736 (che coinvolgeva SSRF basata su redirect) e potrebbe consentire l'accesso alle risorse interne raggiungibili dal runtime dell'applicazione. Questo problema è stato risolto nella versione 9.3.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

GitHub M

Prenotare

20/03/2026

Divulgazione

13/04/2026

Moderazione

accettato

CPE

pronto

Sfruttamento

Scaricare

EPSS

0.01978

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!