Entrovyx

Nome do Software Vulnerável e Versões Afetadas EspoCRM versões anteriores a 9.3.4 Descrição Uma falha de Server-Side Request Forgery (SSRF) autenticada permite ignorar a lógica de validação de host interno ao usar representações alternativas de IPv4, como a notação octal. Isso ocorre porque a função `HostCheck::isNotInternalHost()` depende de `filter var(..., FILTER VALIDATE IP)`, que não reconhece formatos de IP alternativos. Isso faz com que a validação prossiga para uma consulta DNS que não retorna registros, tratando incorretamente o host como seguro. Posteriormente, o cURL normaliza o endereço e se conecta ao destino de loopback. Através do endpoint '/api/v1/Attachment/fromImageUrl', um usuário autenticado pode forçar o servidor a fazer requisições a serviços exclusivos de loopback e armazenar a resposta como um anexo, potencialmente permitindo o acesso a recursos internos. Recomendações Atualizar para a versão 9.3.4. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/v1/Attachment/fromImageUrl' para minimizar o risco de exploração.

Nome do Software Vulnerável e Versões Afetadas EspoCRM versões anteriores a 9.3.4 Descrição Uma injeção de HTML armazenada permite que usuários autenticados com privilégios padrão injetem HTML arbitrário em notificações de e-mail geradas pelo sistema ao criar conteúdo malicioso no campo `post` de notas de atividade de fluxo. O problema ocorre porque templates Handlebars (uma ferramenta para gerar HTML dinâmico) no lado do servidor renderizam o campo `post` usando a sintaxe de chaves triplas não escapadas, o processador Markdown preserva o HTML inline e o pipeline de renderização ignora a sanitização para campos em `additionalData`. Isso permite que o HTML controlado pelo invasor seja armazenado e renderizado em e-mails enviados via identidade SMTP do sistema, fazendo com que o conteúdo pareça confiável. Isso pode possibilitar phishing, rastreamento de usuários via beacons de imagem e manipulação da interface do usuário. O recurso `@mention` permite o envio direcionado a usuários específicos. Recomendações Atualizar para a versão 9.3.4. Como medida paliativa temporária, restrinja o uso do campo `post` em notas de atividade de fluxo.