CVE-2026-33741 in EspoCRM
Tóm tắt
Bởi VulDB • 19/05/2026
EspoCRM là một ứng dụng quản lý quan hệ khách hàng (CRM) mã nguồn mở. Các phiên bản 9.3.3 trở xuống cho phép người dùng đã xác thực tải lên các tệp đính kèm SVG thông qua các trường hỗ trợ đính kèm thông thường và sau đó phục vụ các tệp SVG này dưới dạng tài liệu nội tuyến cấp cao nhất thông qua cả điểm cuối đính kèm và điểm cuối hình ảnh, dẫn đến lỗ hổng XSS lưu trữ (stored XSS) liên quan đến người dùng khác, có thể khai thác thông qua quy trình đính kèm tệp thông thường. Mặc dù tập lệnh SVG nội tuyến bị chặn bởi chính sách bảo mật nội dung (CSP) của phản hồi, nhưng CSP tương tự vẫn cho phép tập lệnh bên ngoài cùng nguồn gốc. Kết quả là, kẻ tấn công có thể tải lên một tệp SVG độc hại cùng với một tệp đính kèm JavaScript thứ hai do kẻ tấn công kiểm soát, sau đó lừa một người dùng khác mở tệp SVG để thực thi JavaScript trong ngữ cảnh nguồn gốc EspoCRM của nạn nhân. Vấn đề này đã được sửa chữa trong phiên bản 9.3.4.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.