CVE-2026-33534

Nome do Software Vulnerável e Versões Afetadas EspoCRM versões anteriores a 9.3.4

Descrição Uma falha de Server-Side Request Forgery (SSRF) autenticada permite ignorar a lógica de validação de host interno ao usar representações alternativas de IPv4, como a notação octal. Isso ocorre porque a função HostCheck::isNotInternalHost() depende de filter var(..., FILTER VALIDATE IP), que não reconhece formatos de IP alternativos. Isso faz com que a validação prossiga para uma consulta DNS que não retorna registros, tratando incorretamente o host como seguro. Posteriormente, o cURL normaliza o endereço e se conecta ao destino de loopback. Através do endpoint '/api/v1/Attachment/fromImageUrl', um usuário autenticado pode forçar o servidor a fazer requisições a serviços exclusivos de loopback e armazenar a resposta como um anexo, potencialmente permitindo o acesso a recursos internos.

Recomendações Atualizar para a versão 9.3.4. Como medida paliativa temporária, restrinja o acesso ao endpoint '/api/v1/Attachment/fromImageUrl' para minimizar o risco de exploração.