CVE-2026-33534 in EspoCRM
Сводка
по VulDB • 31.05.2026
EspoCRM — это приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. Версии 9.3.3 и более ранние содержат уязвимость Server-Side Request Forgery (SSRF), требующую аутентификации, которая позволяет обойти логику проверки внутренних хостов путем использования альтернативных представлений IPv4, таких как восьмеричная нотация (например, 0177.0.0.1 вместо 127.0.0.1). Это вызвано тем, что функция HostCheck::isNotInternalHost() полагается на функцию PHP filter_var(..., FILTER_VALIDATE_IP), которая не распознает альтернативные форматы IP-адресов. В результате проверка проходит мимо и переходит к поиску DNS-записей, который не возвращает записей, из-за чего хост ошибочно считается безопасным. Однако библиотека cURL впоследствии нормализует адрес и подключается к петлевому (loopback) узлу. Через подтвержденный конечный точка /api/v1/Attachment/fromImageUrl аутентифицированный пользователь может заставить сервер выполнять запросы к службам, доступным только по loopback, и сохранять полученные ответы в виде вложений. Эта уязвимость отличается от CVE-2023-46736 (которая касалась SSRF на основе перенаправлений) и может позволять доступ к внутренним ресурсам, доступным из среды выполнения приложения. Проблема исправлена в версии 9.3.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.