CVE-2026-33656 in EspoCRMinformação

Sumário

de VulDB • 10/05/2026

O EspoCRM é uma aplicação de gestão de relacionamento com o cliente (CRM) de código aberto. Antes da versão 9.3.4, o mecanismo de script de fórmulas integrado do EspoCRM permitia atualizar o `sourceId` de anexos, possibilitando que um administrador autenticado sobrescrevesse o campo `sourceId` nas entidades `Attachment`. Como o `sourceId` é concatenado diretamente em um caminho de arquivo sem sanitização em `EspoUploadDir::getFilePath()`, um atacante pode redirecionar qualquer operação de leitura ou gravação de arquivos para um caminho arbitrário dentro do escopo `open_basedir` do servidor web. A versão 9.3.4 corrige o problema.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

23/04/2026

Moderação

aceite

Entrada

VDB-359055

CPE

pronto

CWE

CWE-22 (confirmado)

CVSS

9.1 (CNA)

EPSS

0.00105

KEV

não

Atividades

muito baixo

Fontes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33656
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33656
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33656/

◂ Voltar Visão Geral Próximo ▸

Might our Artificial Intelligence support you?

Check our Alexa App!