EspoCRM 9.3.3 z luką SSRF: CVE-2026-33534 umożliwia obejście walidacji hostów wewnętrznych - Security Bez Tabu

EspoCRM 9.3.3 z luką SSRF: CVE-2026-33534 umożliwia obejście walidacji hostów wewnętrznych

Cybersecurity news

Wprowadzenie do problemu / definicja

W EspoCRM ujawniono podatność typu Server-Side Request Forgery (SSRF), oznaczoną jako CVE-2026-33534. Problem dotyczy mechanizmu pobierania zasobów z adresów URL po stronie serwera i pozwala uwierzytelnionemu użytkownikowi obejść zabezpieczenia blokujące dostęp do hostów wewnętrznych. W praktyce oznacza to możliwość zmuszenia aplikacji do wykonania żądania do usług osiągalnych wyłącznie z perspektywy serwera.

Luka dotyczy EspoCRM 9.3.3 i starszych wersji, a poprawka została udostępniona w wydaniu 9.3.4. Choć oficjalna ocena wskazuje umiarkowany poziom ryzyka, rzeczywisty wpływ zależy od architektury środowiska i usług dostępnych lokalnie lub w sieci wewnętrznej.

W skrócie

  • Podatność została oznaczona jako CVE-2026-33534.
  • Dotyczy EspoCRM 9.3.3 oraz starszych wersji.
  • Wymaga uwierzytelnienia, ale umożliwia ominięcie ochrony przed dostępem do hostów wewnętrznych.
  • Wektor ataku wykorzystuje alternatywne reprezentacje adresów IPv4, w tym zapis ósemkowy.
  • Potwierdzony scenariusz obejmuje funkcję importu obrazu z URL do załącznika.
  • Problem został usunięty w wersji 9.3.4.

Kontekst / historia

EspoCRM to otwartoźródłowy system CRM wykorzystywany do obsługi relacji z klientami, leadów, zgłoszeń oraz procesów sprzedażowych. Jak wiele nowoczesnych aplikacji biznesowych, platforma oferuje funkcje pobierania zdalnych zasobów, co z punktu widzenia bezpieczeństwa jest obszarem szczególnie wrażliwym.

Opisana luka stanowi odrębny przypadek względem wcześniejszych problemów SSRF bazujących na przekierowaniach. W tym scenariuszu źródłem błędu nie są mechanizmy redirect, lecz rozbieżność pomiędzy walidacją adresu wejściowego a sposobem, w jaki biblioteka HTTP interpretuje niestandardowe reprezentacje IPv4. Publiczne informacje o luce pojawiły się 13 kwietnia 2026 roku, a producent wskazał wersję 9.3.4 jako wydanie naprawcze.

Analiza techniczna

Mechanizm ochronny w EspoCRM ma za zadanie blokować żądania kierowane do adresów loopback i innych zasobów wewnętrznych. Proces opiera się na sprawdzeniu, czy host podany w URL jest adresem IP, a następnie na ocenie, czy należy do zakresów wewnętrznych lub specjalnych. Jeżeli jednak host nie zostanie rozpoznany jako adres IP, aplikacja przechodzi do ścieżki walidacji zależnej od rozwiązywania DNS.

Kluczowy problem polega na tym, że alternatywne formaty zapisu IPv4, takie jak 0177.0.0.1, nie są traktowane przez warstwę walidacji jak klasyczny adres 127.0.0.1. W efekcie kontrola bezpieczeństwa nie kwalifikuje takiej wartości jako adresu lokalnego i może dopuścić dalsze przetwarzanie. Następnie biblioteka odpowiedzialna za wykonanie połączenia HTTP normalizuje zapis i łączy się z faktycznym adresem loopback.

Potwierdzony scenariusz wykorzystania dotyczy endpointu odpowiedzialnego za pobranie obrazu z URL i zapisanie go jako załącznika. W teście bezpośrednie odwołanie do 127.0.0.1 zostało zablokowane kodem HTTP 403, natomiast użycie alternatywnego zapisu 0177.0.0.1 zakończyło się powodzeniem, zwróciło HTTP 200 i doprowadziło do utworzenia załącznika. To oznacza, że aplikacja wykonała żądanie po stronie serwera do zasobu dostępnego lokalnie.

Z punktu widzenia klasyfikacji jest to klasyczny przypadek CWE-918, czyli SSRF. Istotne jest również to, że opublikowane materiały pokazują szerszą klasę problemu, obejmującą nie tylko zapis ósemkowy, ale też inne alternatywne reprezentacje adresów IPv4, takie jak formy heksadecymalne, skrócone czy zapisane jako pojedyncza wartość dziesiętna.

Konsekwencje / ryzyko

Najważniejszym skutkiem podatności jest możliwość pośredniego dotarcia do usług lokalnych i segmentów sieci, które normalnie nie są dostępne z internetu. W zależności od konfiguracji środowiska atakujący może uzyskać odpowiedzi z usług nasłuchujących wyłącznie na localhost, wejść w interakcję z panelami administracyjnymi, wykonywać rozpoznanie portów lub zapisywać pobrane odpowiedzi jako artefakty w aplikacji.

  • odczyt danych z usług dostępnych tylko lokalnie,
  • interakcja z interfejsami administracyjnymi i serwisowymi,
  • skanowanie zasobów wewnętrznych z perspektywy serwera aplikacyjnego,
  • pozyskiwanie odpowiedzi z usług pomocniczych i ich dalsze utrwalanie w systemie.

Choć oficjalna punktacja CVSS v3.1 od CNA wynosi 4.3, praktyczne ryzyko może być wyraźnie wyższe w środowiskach, gdzie serwer aplikacyjny ma dostęp do usług wrażliwych, metadanych infrastruktury, baz danych, brokerów wiadomości, reverse proxy lub narzędzi operatorskich. Warto też pamiętać, że wymóg uwierzytelnienia nie eliminuje zagrożenia, ponieważ w realnych incydentach wystarczy często konto o niskich uprawnieniach albo konto przejęte w wyniku phishingu.

Rekomendacje

Podstawowym działaniem naprawczym jest aktualizacja EspoCRM do wersji 9.3.4 lub nowszej. Organizacje korzystające z wersji 9.3.3 i starszych powinny potraktować wdrożenie poprawki priorytetowo.

Dodatkowo warto zastosować następujące środki ograniczające ryzyko:

  • przeprowadzić przegląd wszystkich funkcji pobierających zdalne zasoby po stronie serwera,
  • wdrożyć pełną normalizację i kanonizację adresu przed wykonaniem walidacji bezpieczeństwa,
  • blokować wszystkie reprezentacje adresów prywatnych, loopback, link-local i innych zakresów specjalnych,
  • stosować listy dozwolonych lokalizacji zamiast prostych czarnych list,
  • ograniczyć ruch wychodzący z serwera aplikacyjnego przy użyciu reguł firewall i segmentacji sieci,
  • monitorować logi pod kątem odwołań do localhost, 127.0.0.0/8, zakresów RFC1918 oraz nietypowych zapisów IPv4,
  • przeanalizować historię użycia funkcji importu z URL i utworzonych załączników,
  • rozważyć wyłączenie lub dodatkową autoryzację dla funkcji importu zewnętrznych obrazów, jeśli nie są niezbędne biznesowo.

W środowiskach produkcyjnych warto również wykonać testy regresyjne dla wszystkich miejsc, w których aplikacja przyjmuje adres URL od użytkownika. Luki SSRF często występują wielokrotnie w różnych modułach, gdy aplikacja korzysta ze wspólnych, niewystarczająco odpornych mechanizmów walidacji.

Podsumowanie

CVE-2026-33534 pokazuje, że ochrona przed SSRF nie może opierać się wyłącznie na prostym sprawdzaniu formatu wejścia. W przypadku EspoCRM problem wynika z rozbieżności pomiędzy logiką walidacji hosta a rzeczywistą interpretacją adresu przez warstwę wykonującą połączenie HTTP. To pozwala uwierzytelnionemu użytkownikowi ominąć blokadę hostów wewnętrznych i wymusić połączenie do usług dostępnych lokalnie.

Dla administratorów i zespołów bezpieczeństwa oznacza to potrzebę szybkiej aktualizacji do wersji 9.3.4 lub nowszej, a także przeglądu zasad filtrowania ruchu wychodzącego i wszystkich funkcji odpowiedzialnych za pobieranie zdalnych zasobów. Przypadek EspoCRM jest kolejnym przypomnieniem, że poprawna normalizacja danych wejściowych ma kluczowe znaczenie dla skutecznej ochrony przed SSRF.

Źródła

  1. Exploit Database – EspoCRM 9.3.3 – SSRF
    https://www.exploit-db.com/exploits/52583
  2. GitHub Security Advisory – Authenticated SSRF via internal-host validation bypass using alternative IPv4 notation
    https://github.com/espocrm/espocrm/security/advisories/GHSA-h7gx-8gwv-7g73
  3. NVD – CVE-2026-33534
    https://nvd.nist.gov/vuln/detail/CVE-2026-33534
  4. EspoCRM Release 9.3.4
    https://github.com/espocrm/espocrm/releases/tag/9.3.4