CVE-2026-33741 in EspoCRM
요약
\~에 의해 VulDB • 2026. 05. 19.
EspoCRM는 오픈 소스 고객 관계 관리(CRM) 애플리케이션입니다. 9.3.3 이하 버전에서는 인증된 사용자가 일반적인 첨부 파일 지원 필드를 통해 SVG 첨부 파일을 업로드하고, 이후 첨부 파일 및 이미지 엔드포인트를 통해 해당 SVG 파일을 최상위 인라인 문서로 제공함으로써, 일반적인 첨부 파일 워크플로우를 통해 접근 가능한 저장형 크로스-사용자 XSS(Stored Cross-User XSS)가 발생합니다. 인라인 SVG 스크립트는 응답 CSP(Content Security Policy)에 의해 차단되지만, 동일한 CSP는 동일 출처 외부 스크립트는 허용합니다. 따라서 공격자는 악성 SVG와 두 번째 공격자 제어 JavaScript 첨부 파일을 함께 업로드한 후, 다른 사용자가 SVG를 열도록 속여 피해자의 EspoCRM 출처에서 JavaScript를 실행할 수 있습니다. 이 문제는 버전 9.3.4에서 수정되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.