CVE-2026-33741

Nome do Software Vulnerável e Versões Afetadas EspoCRM versões anteriores a 9.3.4

Descrição Usuários autenticados podem fazer upload de anexos SVG por meio de campos normais com capacidade de anexo. Esses arquivos são servidos como documentos inline de nível superior através de pontos de entrada de anexo e imagem, resultando em Cross-Site Scripting (XSS) armazenado entre usuários, que é uma falha que permite a execução de scripts no navegador de outro usuário. Embora a Política de Segurança de Conteúdo (CSP) bloqueie scripts SVG inline, ela permite scripts externos de mesma origem. Um invasor pode explorar isso fazendo o upload de um SVG malicioso juntamente com um segundo anexo JavaScript controlado pelo invasor, enganando então outro usuário para abrir o SVG e executar o JavaScript na origem do EspoCRM da vítima.

Recomendações Atualize para a versão 9.3.4.