Шесть запросов до полного взлома. Ошибка в коде популярной CRM ставит под удар малый бизнес
NewsMakerРазработчики EsproCRM закрыли критическую уязвимость в механизме обработки файлов.
В популярной системе для управления клиентами EspoCRM нашли уязвимость, которая превращает административный доступ в полный контроль над сервером. Достаточно шести запросов, чтобы пройти путь от панели управления до выполнения команд в системе. Проблема с идентификатором CVE-2026-33656 затрагивает версию EspoCRM 9.3.3. Уязвимость обнаружили при анализе стандартного образа с веб-сервером Apache, где приложение работает от имени пользователя www-data.
Сама EspoCRM – открытая система для работы с клиентами, которую часто выбирают небольшие и средние компании. Внутри есть автоматизация процессов, обработка сделок, почта и даже собственный механизм сценариев. Именно этот механизм и стал отправной точкой атаки.
В EspoCRM встроен так называемый «движок формул» – язык сценариев, с помощью которого администратор может менять данные, запускать процессы и тестировать логику через отдельный интерфейс. Доступ к нему ограничен учётной записью администратора, и изначально такой подход выглядит безопасным. Но выяснилось, что движок обходит внутренние ограничения на уровне отдельных полей.
В обычном интерфейсе и через API часть полей защищена. Например, некоторые значения помечены как «только для чтения» и не меняются даже при попытке отправить запрос. Но движок формул идёт другим путём и записывает данные напрямую, не проверяя такие ограничения. В результате администратор может изменить поля, которые по логике системы трогать нельзя.
В популярной системе для управления клиентами EspoCRM нашли уязвимость, которая превращает административный доступ в полный контроль над сервером. Достаточно шести запросов, чтобы пройти путь от панели управления до выполнения команд в системе. Проблема с идентификатором CVE-2026-33656 затрагивает версию EspoCRM 9.3.3. Уязвимость обнаружили при анализе стандартного образа с веб-сервером Apache, где приложение работает от имени пользователя www-data.
Сама EspoCRM – открытая система для работы с клиентами, которую часто выбирают небольшие и средние компании. Внутри есть автоматизация процессов, обработка сделок, почта и даже собственный механизм сценариев. Именно этот механизм и стал отправной точкой атаки.
В EspoCRM встроен так называемый «движок формул» – язык сценариев, с помощью которого администратор может менять данные, запускать процессы и тестировать логику через отдельный интерфейс. Доступ к нему ограничен учётной записью администратора, и изначально такой подход выглядит безопасным. Но выяснилось, что движок обходит внутренние ограничения на уровне отдельных полей.
В обычном интерфейсе и через API часть полей защищена. Например, некоторые значения помечены как «только для чтения» и не меняются даже при попытке отправить запрос. Но движок формул идёт другим путём и записывает данные напрямую, не проверяя такие ограничения. В результате администратор может изменить поля, которые по логике системы трогать нельзя.