EspoCRM — это приложение для управления взаимоотношениями с клиентами с открытым исходным кодом. В версиях 9.3.3 и ниже конечная точка POST /api/v1/Email/importEml содержит уязвимость небезопасной прямой ссылки на объект (IDOR), при которой предоставленный злоумышленником параметр fileId используется для получения любого вложения непосредственно из репозитория без проверки наличия у текущего пользователя разрешения на доступ к нему. Любой прошедший проверку подлинности пользователь с разрешениями «Электронная почта: создание» и «Импорт» может использовать это для чтения содержимого вложения .eml другого пользователя, импортировав его как новое электронное письмо в почтовый ящик злоумышленника, в то время как исходная запись вложения жертвы удаляется как побочный эффект потока импорта.
Это несовместимо со стандартным путем загрузки вложений, который требует проверки ACL перед возвратом данных файла, и практически может быть использован, поскольку идентификаторы вложений обычно предоставляются в обычных рабочих процессах пользовательского интерфейса и API, таких как потоковые полезные данные и ссылки для загрузки. Эта проблема исправлена в версии 9.3.4.
Показать оригинальное описание (EN)
EspoCRM is an open source customer relationship management application. In versions 9.3.3 and below, the POST /api/v1/Email/importEml endpoint contains an Insecure Direct Object Reference (IDOR) vulnerability where the attacker-supplied fileId parameter is used to fetch any attachment directly from the repository without verifying that the current user has authorization to access it. Any authenticated user with Email:create and Import permissions can exploit this to read another user's .eml attachment contents by importing them as a new email into the attacker's mailbox, while the original victim attachment record is deleted as a side effect of the import flow. This is inconsistent with the standard attachment download path, which enforces ACL checks before returning file data, and is practically exploitable because attachment IDs are commonly exposed in normal UI and API workflows such as stream payloads and download links. This issue is fixed in version 9.3.4.
Характеристики атаки
Последствия
Строка CVSS v3.1