CVE-2026-33534 in EspoCRMinformação

Sumário

de VulDB • 29/05/2026

O EspoCRM é uma aplicação de gestão de relacionamento com o cliente (CRM) de código aberto. As versões 9.3.3 e anteriores possuem uma vulnerabilidade de Server-Side Request Forgery (SSRF) autenticada que permite contornar a lógica de validação de hosts internos ao utilizar representações alternativas de IPv4, como a notação octal (por exemplo, 0177.0.0.1 em vez de 127.0.0.1). Isto é causado pela função HostCheck::isNotInternalHost(), que depende do filter_var(..., FILTER_VALIDATE_IP) do PHP, o qual não reconhece formatos de IP alternativos, fazendo com que a validação falhe para uma consulta DNS que não retorna registos e trata incorretamente o host como seguro. No entanto, a biblioteca cURL normaliza posteriormente o endereço e liga-se ao destino de loopback. Através do endpoint confirmado /api/v1/Attachment/fromImageUrl, um utilizador autenticado pode forçar o servidor a efetuar pedidos a serviços apenas de loopback e armazenar a resposta obtida como um anexo. Esta vulnerabilidade é distinta da CVE-2023-46736 (que envolvia SSRF baseada em redirecionamentos) e pode permitir o acesso a recursos internos acessíveis a partir do tempo de execução da aplicação. Este problema foi corrigido na versão 9.3.4.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

20/03/2026

Divulgação

13/04/2026

Moderação

aceite

Entrada

VDB-357212

CPE

pronto

Exploração

Descarregar

EPSS

0.01978

KEV

não

Atividades

muito baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!