CVE-2026-33741 in EspoCRMИнформация

Сводка

по VulDB • 20.05.2026

EspoCRM — это приложение для управления взаимоотношениями с клиентами (CRM) с открытым исходным кодом. Версии 9.3.3 и более ранние позволяют аутентифицированным пользователям загружать вложения в формате SVG через обычные поля, поддерживающие вложения, а затем отображать эти SVG-файлы как встроенные документы верхнего уровня как через точку входа для вложений, так и через точку входа для изображений, что приводит к сохраненному межсайтовому скриптингу (XSS) между пользователями, доступному через обычный рабочий процесс вложений. Хотя встроенный скрипт SVG блокируется заголовком CSP (Content Security Policy) ответа, тот же самый CSP все еще разрешает внешние скрипты с того же источника. В результате злоумышленник может загрузить вредоносный SVG-файл вместе со вторым вложением, содержащим JavaScript, контролируемым злоумышленником, а затем обманом заставить другого пользователя открыть SVG-файл, чтобы выполнить JavaScript в контексте источника EspoCRM жертвы. Эта проблема исправлена в версии 9.3.4.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

19.05.2026

Модерация

принято

Вход

VDB-364727

CPE

готов

CWE

CWE-79 (Подтверждённый)

CVSS

6.8 (CNA)

EPSS

0.00041

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33741
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33741
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33741/

◂ Предыдущий Обзор Далее ▸

Do you need the next level of professionalism?

Upgrade your account now!