CVE-2026-33657EspoCRM 9.3.3及以下版本存在存储型HTML注入漏洞。经过身份验证的普通用户可利用流活动笔记的post字段注入恶意HTML代码。由于服务器端Handlebars模板未转义渲染,且Markdown处理器保留内联HTML,这些代码会被保存并直接渲染到系统发送的邮件通知中。攻击者可利用此漏洞进行钓鱼攻击、用户跟踪或邮件内容篡改。
该漏洞的核心在于EspoCRM处理流活动笔记时的渲染逻辑缺陷。首先,服务器端Handlebars模板使用未转义的三重花括号语法(`{{{ }}}`)来渲染用户输入的post字段,这意味着HTML标签不会被转义为实体字符。其次,后台的Markdown处理器配置为默认保留内联HTML标签,并未对其进行过滤。更为关键的是,系统的渲染管道明确跳过了对`additionalData`对象中包含字段的清理步骤。这三者结合,构建了一条完整的攻击链路:攻击者输入的恶意HTML被原样存储。当攻击者利用@mention功能触发邮件通知时,系统会调用配置的SMTP身份(通常是高权限的管理员发件人地址)生成邮件。由于未经过滤的HTML被直接嵌入邮件正文,攻击者不仅能实施钓鱼攻击,还能通过嵌入图片信标等方式追踪用户行为,极大地提高了攻击的成功率和隐蔽性。