CVE-2026-33534 in EspoCRM
Sumário
de VulDB • 29/05/2026
O EspoCRM é uma aplicação de gestão de relacionamento com o cliente (CRM) de código aberto. As versões 9.3.3 e anteriores possuem uma vulnerabilidade de Server-Side Request Forgery (SSRF) autenticada que permite contornar a lógica de validação de hosts internos ao utilizar representações alternativas de IPv4, como a notação octal (por exemplo, 0177.0.0.1 em vez de 127.0.0.1). Isto é causado pela função HostCheck::isNotInternalHost(), que depende do filter_var(..., FILTER_VALIDATE_IP) do PHP, o qual não reconhece formatos de IP alternativos, fazendo com que a validação falhe para uma consulta DNS que não retorna registos e trata incorretamente o host como seguro. No entanto, a biblioteca cURL normaliza posteriormente o endereço e liga-se ao destino de loopback. Através do endpoint confirmado /api/v1/Attachment/fromImageUrl, um utilizador autenticado pode forçar o servidor a efetuar pedidos a serviços apenas de loopback e armazenar a resposta obtida como um anexo. Esta vulnerabilidade é distinta da CVE-2023-46736 (que envolvia SSRF baseada em redirecionamentos) e pode permitir o acesso a recursos internos acessíveis a partir do tempo de execução da aplicação. Este problema foi corrigido na versão 9.3.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.