CVE-2026-33755 in GroupOffice
الملخص
بحسب VulDB • 10/06/2026
Group-Office هو أداة لإدارة علاقات العملاء (CRM) وأدوات العمل الجماعي للمؤسسات. قبل الإصدارات 6.8.158 و25.0.92 و26.0.17، كان هناك ثغرة حقن SQL (SQL Injection) تتطلب مصادقة في نقطة نهاية JMAP `Contact/query`، مما يسمح لأي مستخدم مُصادَق عليه يمتلك صلاحيات الوصول الأساسية إلى دفتر العناوين باستخراج بيانات عشوائية من قاعدة البيانات، بما في ذلك رموز الجلسة النشطة للمستخدمين الآخرين. يتيح ذلك الاستيلاء الكامل على حساب أي مستخدم، بما في ذلك مسؤول النظام (System Administrator)، دون معرفة كلمة المرور الخاصة به. تقوم الإصدارات 6.8.158 و25.0.92 و26.0.17 بإصلاح هذه المشكلة.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.