CVE-2026-33656 — 神龙十问 AI 深度分析摘要

🚨 **本质**：路径遍历漏洞 (Path Traversal)。 💥 **后果**：攻击者可覆盖 `Attachment` 实体的 `sourceId`，将文件读写操作重定向到任意位置（在 `open_basedir` 限制内），导致**数据泄露**或**系统被控**。

🔍 **CWE**：CWE-22 (路径遍历)。 🛠️ **缺陷点**：内置公式脚本引擎允许更新附件的 `sourceId`，且该字段在 `EspoUploadDir::getFilePath` 中**未经清理**直接拼接，导致路径注入。

📦 **产品**：EspoCRM (开源 CRM)。 📅 **版本**：**9.3.4 之前**的所有版本。 🏢 **厂商**：espocrm。

🕵️ **黑客能力**： 1. **任意文件读取**：窃取敏感数据。 2. **任意文件写入**：覆盖关键文件。 3. **权限提升**：结合 Web 服务器配置，可能实现远程代码执行 (RCE)。 📊 **影响范围**：高机密性 (C:H)、高完整性 (I:H)、高可用性 (A:H)。

🔐 **门槛**：**中等**。 ✅ **前提**：需要**经过身份验证的管理员权限** (PR:H)。 ❌ **无需**：用户交互 (UI:N)。 🌐 **网络**：远程可攻击 (AV:N)。 ⚡ **复杂度**：低 (AC:L)。

📜 **Exp/PoC**：目前数据中 **无现成 PoC** (pocs: [])。 🔗 **参考**：官方已发布安全公告 (GHSA-7922-x7cf-j54x)，建议关注 GitHub 动态。

🔎 **自查方法**： 1. 检查 CRM 版本是否 < 9.3.4。 2. 审计 `EspoUploadDir::getFilePath` 函数，确认 `sourceId` 是否经过严格的路径净化。 3. 监控异常的文件访问日志，特别是涉及附件上传的异常路径请求。

🛡️ **修复状态**：官方已发布安全建议。 💡 **行动**：升级至 **9.3.4 或更高版本** 以修复此漏洞。参考链接：[GitHub Advisory](https://github.com/espocrm/espocrm/security/advisories/GHSA-7922-x7cf-j54x)。

🚧 **临时规避**： 1. **最小权限原则**：严格限制管理员账号，避免使用高权限账号进行日常操作。 2. **WAF 规则**：部署 WAF 拦截包含 `../` 或异常路径字符的 `sourceId` 参数请求。 3. **隔离环境**：确保 Web 服务器 `open_basedir` 限制严格，防止越权访问系统关键目录。

⚠️ **优先级**：**高 (Critical)**。 📉 **CVSS**：9.8 (CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H)。 💡 **建议**：虽然需要管理员权限，但一旦内部账号失陷，危害极大。建议**立即升级**或实施严格的访问控制缓解措施。