| Title | EspoCRMにおける複数の脆弱性 |
|---|---|
| Summary | EspoCRMはオープンソースの顧客関係管理アプリケーションです。バージョン9.3.3以下には、認証された標準(非管理者)権限のユーザーがストリームアクティビティノートのpostフィールドに悪意のあるコンテンツを作成することで、システム生成のメール通知に任意のHTMLを注入できるストアドHTMLインジェクションの脆弱性があります。この脆弱性は、サーバーサイドのHandlebarsテンプレートがpostフィールドをエスケープされていない三重中括弧構文でレンダリングしていること、MarkdownプロセッサがデフォルトでインラインHTMLを保持すること、さらにレンダリングパイプラインがadditionalDataに存在するフィールドのサニタイズを明示的にスキップしているために、攻撃者制御下のHTMLが受け入れられ保存され、エスケープなしにメールに直接レンダリングされる経路が存在することで発生します。メールはシステムの設定されたSMTPアイデンティティ(管理者送信者アドレスなど)を使用して送信されるため、注入されたコンテンツは受信者に完全に信頼されたものとして表示され、フィッシング攻撃や画像ビーコンなどの埋め込みリソースによるユーザートラッキング、メール内容内のUI操作を可能にします。@mention機能は特定のユーザーに悪意のあるメールを標的配信できるため、この影響をさらに拡大します。この問題はバージョン9.3.4で修正されました。 |
| Possible impacts | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 13, 2026, midnight |
| Registration Date | April 23, 2026, 10:13 a.m. |
| Last Update | April 23, 2026, 10:13 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.4 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N |
| EspoCRM |
| EspoCRM 9.3.4 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月23日] 掲載 |
April 23, 2026, 10:13 a.m. |
| Summary | EspoCRM is an open source customer relationship management application. Versions 9.3.3 and below have a stored HTML injection vulnerability that allows any authenticated user with standard (non-administrative) privileges to inject arbitrary HTML into system-generated email notifications by crafting malicious content in the post field of stream activity notes. The vulnerability exists because server-side Handlebars templates render the post field using unescaped triple-brace syntax, the Markdown processor preserves inline HTML by default, and the rendering pipeline explicitly skips sanitization for fields present in additionalData, creating a path where attacker-controlled HTML is accepted, stored, and rendered directly into emails without any escaping. Since the emails are sent using the system's configured SMTP identity (such as an administrative sender address), the injected content appears fully trusted to recipients, enabling phishing attacks, user tracking via embedded resources like image beacons, and UI manipulation within email content. The @mention feature further increases the impact by allowing targeted delivery of malicious emails to specific users. This issue has been fixed in version 9.3.4. |
|---|---|
| Publication Date | April 14, 2026, 5:16 a.m. |
| Registration Date | April 15, 2026, 11:39 a.m. |
| Last Update | April 22, 2026, 9:10 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:espocrm:espocrm:*:*:*:*:*:*:*:* | 9.3.4 | ||||