CVE-2026-33657 in EspoCRM
要約
〜によって VulDB • 2026年05月15日
EspoCRMはオープンソースの顧客関係管理(CRM)アプリケーションです。バージョン9.3.3およびそれ以前のバージョンには、標準(管理者ではない)権限を持つ認証済みユーザーであれば誰でも、ストリームアクティビティノートにおける「post」フィールドに悪意のあるコンテンツを仕込むことで、システム生成のメール通知に任意のHTMLを注入できる、格納型HTMLインジェクションの脆弱性が存在します。この脆弱性は、サーバーサイドのHandlebarsテンプレートが「post」フィールドをエスケープされていないトリプルブレース構文でレンダリングし、MarkdownプロセッサがデフォルトでインラインHTMLを保持し、さらにレンダリングパイプラインがadditionalDataに含まれるフィールドに対して明示的にサニタイズ処理をスキップするため、攻撃者が制御するHTMLが許可され、保存され、エスケープ処理なしでメールに直接レンダリングされる経路が生じていることに起因します。メールはシステムの構成済みSMTPアイデンティティ(管理者の送信アドレスなど)を使用して送信されるため、注入されたコンテンツは受信者にとって完全に信頼できるものとして表示され、フィッシング攻撃、画像ビーコンなどの埋め込みリソースを介したユーザー追跡、メールコンテンツ内のUI改ざんが可能になります。@mention機能により、悪意のあるメールを特定のユーザーにターゲット配信できるため、影響はさらに拡大します。この問題はバージョン9.3.4で修正されています。
If you want to get best quality of vulnerability data, you may have to visit VulDB.