Plataforma
php
Componente
espocrm
Corregido en
9.3.5
La vulnerabilidad CVE-2026-33659 es una falla de Server-Side Request Forgery (SSRF) presente en EspoCRM versiones 9.3.3 y anteriores. Esta falla permite a un atacante manipular las solicitudes HTTP realizadas por el servidor, potencialmente accediendo a recursos internos o externos no autorizados. La vulnerabilidad se debe a una condición de DNS rebinding (TOCTOU) en el endpoint /api/v1/Attachment/fromImageUrl, y una falla en la validación de DNS. La versión 9.3.4 corrige esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad para realizar solicitudes a recursos internos que normalmente no serían accesibles desde el exterior. Esto podría incluir el acceso a bases de datos, archivos de configuración, o incluso otros sistemas dentro de la red. La técnica de DNS rebinding permite que el atacante cambie la dirección IP a la que se resuelve un nombre de dominio durante la ejecución de la solicitud, eludiendo las validaciones implementadas. El impacto potencial incluye la exfiltración de datos sensibles, la ejecución de comandos en el servidor (si se combinan con otras vulnerabilidades), y el acceso no autorizado a información confidencial. Esta vulnerabilidad comparte similitudes con otros ataques SSRF que explotan la manipulación de nombres de dominio.
La vulnerabilidad fue publicada el 2026-04-13. No se ha reportado su inclusión en el KEV de CISA, ni se conocen campañas de explotación activas. No existen públicamente Proof of Concepts (PoCs) disponibles, lo que sugiere un riesgo de explotación relativamente bajo en el momento actual. Se recomienda monitorear la situación y estar atento a posibles actualizaciones de seguridad.
Estado del Exploit
EPSS
0.04% (13% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar EspoCRM a la versión 9.3.4 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de mitigación temporales. Estas medidas incluyen la configuración de reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten explotar la vulnerabilidad SSRF. Además, se debe validar rigurosamente la entrada del usuario para evitar la manipulación de nombres de dominio. Implementar una política de seguridad de red que restrinja el acceso a recursos internos desde el exterior también puede ayudar a reducir el impacto de esta vulnerabilidad. Después de la actualización, confirme la corrección revisando los registros del servidor para detectar intentos de explotación.
Actualice EspoCRM a la versión 9.3.4 o posterior para mitigar la vulnerabilidad de SSRF. Esta actualización corrige la validación de host y evita que se utilicen diferentes direcciones IP para el mismo nombre de host, previniendo así el acceso no autorizado a la red interna.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33659 is a Server-Side Request Forgery (SSRF) vulnerability in EspoCRM versions 9.3.3 and below, allowing attackers to potentially initiate requests on behalf of the server.
You are affected if you are running EspoCRM version 9.3.3 or earlier. Upgrade to version 9.3.4 to resolve the vulnerability.
Upgrade EspoCRM to version 9.3.4 or later. As a temporary workaround, restrict outbound network access using a WAF or proxy.
As of the publication date, there are no publicly known active campaigns exploiting CVE-2026-33659, but vigilance is still advised.
Refer to the EspoCRM security advisories page for the latest information: [https://www.esposoft.com/security/](https://www.esposoft.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.