CVE-2026-33657

Nome do Software Vulnerável e Versões Afetadas EspoCRM versões anteriores a 9.3.4

Descrição Uma injeção de HTML armazenada permite que usuários autenticados com privilégios padrão injetem HTML arbitrário em notificações de e-mail geradas pelo sistema ao criar conteúdo malicioso no campo post de notas de atividade de fluxo. O problema ocorre porque templates Handlebars (uma ferramenta para gerar HTML dinâmico) no lado do servidor renderizam o campo post usando a sintaxe de chaves triplas não escapadas, o processador Markdown preserva o HTML inline e o pipeline de renderização ignora a sanitização para campos em additionalData. Isso permite que o HTML controlado pelo invasor seja armazenado e renderizado em e-mails enviados via identidade SMTP do sistema, fazendo com que o conteúdo pareça confiável. Isso pode possibilitar phishing, rastreamento de usuários via beacons de imagem e manipulação da interface do usuário. O recurso @mention permite o envio direcionado a usuários específicos.

Recomendações Atualizar para a versão 9.3.4. Como medida paliativa temporária, restrinja o uso do campo post em notas de atividade de fluxo.