CVE-2026-33755 in GroupOfficeinformazioni

Riassunto

di VulDB • 15/06/2026

Group-Office è uno strumento enterprise per la gestione delle relazioni con i clienti (CRM) e groupware. Prima delle versioni 6.8.158, 25.0.92 e 26.0.17, una vulnerabilità di SQL Injection autenticata nell'endpoint JMAP `Contact/query` consente a qualsiasi utente autenticato con accesso base all'rubrica di estrarre dati arbitrari dal database — inclusi i token di sessione attivi di altri utenti. Ciò permette il completo takeover dell'account di qualsiasi utente, incluso l'amministratore di sistema (System Administrator), senza conoscerne la password. Le versioni 6.8.158, 25.0.92 e 26.0.17 risolvono il problema.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

27/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00387

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!