EspoCRM — это приложение для управления взаимоотношениями с клиентами с открытым исходным кодом. Версии 9.3.3 и ниже имеют сохраненную уязвимость внедрения HTML, которая позволяет любому аутентифицированному пользователю со стандартными (неадминистративными) привилегиями вставлять произвольный HTML-код в генерируемые системой уведомления по электронной почте, создавая вредоносный контент в поле публикации заметок о действиях потока. Уязвимость существует потому, что серверные шаблоны Handlebars отображают поле сообщения с использованием неэкранированного синтаксиса тройных скобок, процессор Markdown по умолчанию сохраняет встроенный HTML, а конвейер рендеринга явно пропускает очистку для полей, присутствующих в дополнительных данных, создавая путь, по которому контролируемый злоумышленником HTML принимается, сохраняется и отображается непосредственно в сообщениях электронной почты без какого-либо экранирования.
Поскольку электронные письма отправляются с использованием настроенного в системе идентификатора SMTP (например, административного адреса отправителя), внедренный контент кажется получателям полностью доверенным, что позволяет проводить фишинговые атаки, отслеживать пользователей с помощью встроенных ресурсов, таких как маяки изображений, и манипулировать пользовательским интерфейсом в содержимом электронной почты. Функция @mention еще больше увеличивает воздействие, позволяя целевую доставку вредоносных писем конкретным пользователям. Эта проблема исправлена в версии 9.3.4.
Показать оригинальное описание (EN)
EspoCRM is an open source customer relationship management application. Versions 9.3.3 and below have a stored HTML injection vulnerability that allows any authenticated user with standard (non-administrative) privileges to inject arbitrary HTML into system-generated email notifications by crafting malicious content in the post field of stream activity notes. The vulnerability exists because server-side Handlebars templates render the post field using unescaped triple-brace syntax, the Markdown processor preserves inline HTML by default, and the rendering pipeline explicitly skips sanitization for fields present in additionalData, creating a path where attacker-controlled HTML is accepted, stored, and rendered directly into emails without any escaping. Since the emails are sent using the system's configured SMTP identity (such as an administrative sender address), the injected content appears fully trusted to recipients, enabling phishing attacks, user tracking via embedded resources like image beacons, and UI manipulation within email content. The @mention feature further increases the impact by allowing targeted delivery of malicious emails to specific users. This issue has been fixed in version 9.3.4.
Характеристики атаки
Последствия
Строка CVSS v3.1