CVE-2026-33755 in GroupOfficeالمعلومات

الملخص

بحسب VulDB • 10/06/2026

Group-Office هو أداة لإدارة علاقات العملاء (CRM) وأدوات العمل الجماعي للمؤسسات. قبل الإصدارات 6.8.158 و25.0.92 و26.0.17، كان هناك ثغرة حقن SQL (SQL Injection) تتطلب مصادقة في نقطة نهاية JMAP `Contact/query`، مما يسمح لأي مستخدم مُصادَق عليه يمتلك صلاحيات الوصول الأساسية إلى دفتر العناوين باستخراج بيانات عشوائية من قاعدة البيانات، بما في ذلك رموز الجلسة النشطة للمستخدمين الآخرين. يتيح ذلك الاستيلاء الكامل على حساب أي مستخدم، بما في ذلك مسؤول النظام (System Administrator)، دون معرفة كلمة المرور الخاصة به. تقوم الإصدارات 6.8.158 و25.0.92 و26.0.17 بإصلاح هذه المشكلة.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

23/03/2026

إفشاء

27/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353929

EPSS

0.00387

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!