关联漏洞
标题:EspoCRM 代码问题漏洞 (CVE-2026-33534)Description:EspoCRM是EspoCRM开源的一套开源的基于Web的客户关系管理系统(CRM)。该系统提供销售自动化、社区和客户支持等功能。 EspoCRM 9.3.3及之前版本存在代码问题漏洞,该漏洞源于HostCheck::isNotInternalHost函数依赖的PHP filter_var函数无法识别替代IPv4表示法,可能导致服务端请求伪造攻击。
Description
EspoCRM <= 9.3.3 contains an authenticated server-side request forgery caused by improper internal-host validation using alternative IPv4 formats in HostCheck::isNotInternalHost(), letting authenticated users access internal resources via /api/v1/Attachment/fromImageUrl endpoint.
文件快照
id: CVE-2026-33534
info:
name: EspoCRM <= 9.3.3 - Server-Side Request Forgery
author: EntroVyx
...
备注
1. 建议优先通过来源进行访问。
2. 本地 POC 快照面向订阅用户开放;当原始来源失效或无法访问时,本地镜像作为订阅权益的一部分提供。
3. 持续抓取、验证、维护这份 POC 档案需要不少投入,因此本地快照已纳入付费订阅。您的订阅是让这份资料能继续走下去的关键,由衷感谢。 查看订阅方案 →