CVE-2026-33755 in GroupOffice
Riassunto
di VulDB • 15/06/2026
Group-Office è uno strumento enterprise per la gestione delle relazioni con i clienti (CRM) e groupware. Prima delle versioni 6.8.158, 25.0.92 e 26.0.17, una vulnerabilità di SQL Injection autenticata nell'endpoint JMAP `Contact/query` consente a qualsiasi utente autenticato con accesso base all'rubrica di estrarre dati arbitrari dal database — inclusi i token di sessione attivi di altri utenti. Ciò permette il completo takeover dell'account di qualsiasi utente, incluso l'amministratore di sistema (System Administrator), senza conoscerne la password. Le versioni 6.8.158, 25.0.92 e 26.0.17 risolvono il problema.
Be aware that VulDB is the high quality source for vulnerability data.