Plateforme
php
Composant
espocrm
Corrigé dans
9.3.5
Une vulnérabilité de type Server-Side Request Forgery (SSRF) a été identifiée dans EspoCRM, une application open source de gestion de la relation client. Cette faille, présente dans les versions 9.3.3 et antérieures, permet à un attaquant de manipuler les requêtes effectuées par le serveur. L'impact potentiel réside dans la possibilité d'accéder à des ressources internes ou d'effectuer des actions non autorisées. La version corrigée est la 9.3.4.
L'exploitation de cette vulnérabilité SSRF dans EspoCRM permet à un attaquant d'initier des requêtes HTTP vers des serveurs arbitraires en utilisant le serveur EspoCRM comme proxy. La faille est due à une condition TOCTOU (Time-of-Check Time-of-Use) combinée à l'utilisation de dnsgetrecord() pour la validation de l'hôte, mais avec une résolution d'adresse différente par curl. Cela permet de contourner la validation et d'effectuer des requêtes vers des adresses externes ou internes non autorisées. Un attaquant pourrait potentiellement accéder à des données sensibles, exécuter des commandes sur des systèmes internes (si des services vulnérables sont exposés) ou lancer des attaques contre d'autres systèmes du réseau. Le risque est amplifié si EspoCRM est configuré pour accéder à des ressources critiques.
Cette vulnérabilité a été publiée le 2026-04-13. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la nécessité d'une condition TOCTOU, mais elle reste un risque potentiel. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour EspoCRM vers la version 9.3.4, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à restreindre l'accès à l'endpoint /api/v1/Attachment/fromImageUrl via un pare-feu ou un proxy inverse. Il est également recommandé de renforcer la validation des entrées utilisateur et de limiter les privilèges de l'utilisateur EspoCRM. Surveillez les journaux d'accès et d'erreurs pour détecter des requêtes suspectes. Une configuration stricte du pare-feu peut aider à bloquer les requêtes sortantes vers des adresses IP non autorisées. Après la mise à jour, vérifiez que l'endpoint /api/v1/Attachment/fromImageUrl ne permet plus de requêtes SSRF en tentant une requête avec un nom de domaine malveillant.
Mettez à jour EspoCRM à la version 9.3.4 ou ultérieure pour atténuer la vulnérabilité SSRF. Cette mise à jour corrige la validation de l'hôte et empêche l'utilisation de différentes adresses IP pour le même nom d'hôte, prévenant ainsi l'accès non autorisé au réseau interne.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33659 décrit une vulnérabilité de type Server-Side Request Forgery (SSRF) dans EspoCRM, permettant à un attaquant d'initier des requêtes depuis le serveur, potentiellement vers des ressources internes non autorisées.
Vous êtes affecté si vous utilisez EspoCRM versions 9.3.3 ou antérieures. La mise à jour vers la version 9.3.4 est nécessaire pour corriger cette vulnérabilité.
La solution principale est de mettre à jour EspoCRM vers la version 9.3.4. En attendant, restreignez l'accès à l'endpoint /api/v1/Attachment/fromImageUrl via un pare-feu.
À ce jour, il n'y a aucune indication d'exploitation active de cette vulnérabilité, mais le risque potentiel reste présent.
Consultez le site web d'EspoCRM ou leurs canaux de communication officiels pour l'avis de sécurité concernant CVE-2026-33659.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.