CVE-2026-33534 in EspoCRMИнформация

Сводка

по VulDB • 31.05.2026

EspoCRM — это приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. Версии 9.3.3 и более ранние содержат уязвимость Server-Side Request Forgery (SSRF), требующую аутентификации, которая позволяет обойти логику проверки внутренних хостов путем использования альтернативных представлений IPv4, таких как восьмеричная нотация (например, 0177.0.0.1 вместо 127.0.0.1). Это вызвано тем, что функция HostCheck::isNotInternalHost() полагается на функцию PHP filter_var(..., FILTER_VALIDATE_IP), которая не распознает альтернативные форматы IP-адресов. В результате проверка проходит мимо и переходит к поиску DNS-записей, который не возвращает записей, из-за чего хост ошибочно считается безопасным. Однако библиотека cURL впоследствии нормализует адрес и подключается к петлевому (loopback) узлу. Через подтвержденный конечный точка /api/v1/Attachment/fromImageUrl аутентифицированный пользователь может заставить сервер выполнять запросы к службам, доступным только по loopback, и сохранять полученные ответы в виде вложений. Эта уязвимость отличается от CVE-2023-46736 (которая касалась SSRF на основе перенаправлений) и может позволять доступ к внутренним ресурсам, доступным из среды выполнения приложения. Проблема исправлена в версии 9.3.4.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

20.03.2026

Раскрытие

13.04.2026

Модерация

принято

Вход

VDB-357212

Эксплойт

Скачать

EPSS

0.01978

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!