CVE-2026-33534 in EspoCRM
Tóm tắt
Bởi VulDB • 12/05/2026
EspoCRM là một ứng dụng quản lý quan hệ khách hàng (CRM) mã nguồn mở. Các phiên bản 9.3.3 trở xuống có lỗ hổng Server-Side Request Forgery (SSRF) yêu cầu xác thực, cho phép vượt qua logic xác thực máy chủ nội bộ bằng cách sử dụng các biểu diễn IPv4 thay thế như ký hiệu bát phân (ví dụ: 0177.0.0.1 thay vì 127.0.0.1). Nguyên nhân là do hàm HostCheck::isNotInternalHost() dựa vào filter_var(..., FILTER_VALIDATE_IP) của PHP, hàm này không nhận dạng các định dạng IP thay thế, khiến việc xác thực chuyển sang tra cứu DNS trả về không có bản ghi và xử lý sai máy chủ là an toàn; tuy nhiên, cURL sau đó chuẩn hóa địa chỉ và kết nối đến đích vòng lặp nội bộ (loopback). Thông qua điểm cuối /api/v1/Attachment/fromImageUrl đã được xác nhận, người dùng đã xác thực có thể buộc máy chủ thực hiện các yêu cầu đến các dịch vụ chỉ truy cập được qua vòng lặp nội bộ và lưu phản hồi đã lấy làm tệp đính kèm. Lỗ hổng này khác với CVE-2023-46736 (liên quan đến SSRF dựa trên chuyển hướng) và có thể cho phép truy cập vào các tài nguyên nội bộ có thể truy cập từ thời gian chạy ứng dụng. Vấn đề này đã được sửa trong phiên bản 9.3.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.