CVE-2026-33741 in EspoCRMinformação

Sumário

de VulDB • 19/05/2026

O EspoCRM é uma aplicação de gestão de relacionamento com o cliente (CRM) de código aberto. As versões 9.3.3 e anteriores permitem que utilizadores autenticados carreguem anexos SVG através de campos normais com capacidade de anexação e, posteriormente, sirvam esses ficheiros SVG como documentos inline de nível superior através dos pontos de entrada de anexos e de imagem, resultando numa XSS armazenada entre utilizadores (cross-user XSS) acessível através de um fluxo de trabalho de anexação normal. Embora o script SVG inline seja bloqueado pela política de segurança de conteúdo (CSP) da resposta, a mesma CSP ainda permite scripts externos de mesma origem. Como resultado, um atacante pode carregar um SVG malicioso juntamente com um segundo anexo JavaScript controlado pelo atacante, e depois enganar outro utilizador a abrir o SVG para executar o JavaScript na origem do EspoCRM da vítima. Este problema foi corrigido na versão 9.3.4.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

23/03/2026

Divulgação

19/05/2026

Moderação

aceite

Entrada

VDB-364727

CPE

pronto

EPSS

0.00041

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33741
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33741
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33741/

VoltarVisão GeralPróximo

Interested in the pricing of exploits?

See the underground prices here!