TechNews
Observatory
Article

Reddit - The heart of the internetEspoCRM ≤9.3.3 で公式エンジン経由でファイルパス書き込み回避された認証済み遠隔コード実行 (RCE) の脆弱性 CVE-2026-33656 が暴露。

unpinnedSecurity-Global
https://www.reddit.com/r/netsec/comments/1s39ujn/cve202633656_espocrm_933_formula_engine_acl_gap
Summary
analysis llm/ollama(qwen3.5:4B) / 32s
published 2026-03-25 21:51 JST
Sources
Reddit / r/netsec
Analysis Tags
cve-2026-33656espo-crmformula-engine-acl-gappath-traversalrceremote-code-executionwebshell-upload
Manual Tags
none
Reading

Article Notes

要点
  • EspoCRM ≤9.3.3 で公式エンジン経由でファイルパス書き込み回避された認証済み遠隔コード実行 (RCE) の脆弱性 CVE-2026-33656 が暴露。
  • rotyOnly フィールドを含むソースIDが直接コンカテネイトされサンチマイゼーションなしで、WebShell アップロードと.htaccess 汚染を通じた RCE に繋がった。
  • 6 リクエスト、管理者権限必要としコサインディスクロージャーにより patch 済みの 9.3.4 で修正された事例である。
重要性

公式エンジンで ACL バージョン制御が破綻し、外部システムからのファイル書き込みと RCE を可能にした、高度なサプライチェーン攻撃の具体例である。

Signals

Why It Was Selected

Buzz

今回の収集範囲では、コミュニティで強い話題信号は確認できませんでした。

Global

影響範囲が広く、個別の話題として流さず全体像で押さえる価値があります。どの領域に波及するかを見極めるためにも、今の段階で追っておく意味があります。

Context

背景と運用文脈を補って読むことで、影響の見え方が大きく変わる話題です。実装だけでなく、現場の扱い方や周辺ルールまで見ておく必要があります。