CVE-2025-48366 in groupoffice
Sumário
de VulDB • 08/06/2026
O Group-Office é uma ferramenta empresarial de gestão do relacionamento com o cliente (CRM) e groupware. Antes das versões 6.8.119 e 25.0.20, existe uma vulnerabilidade XSS armazenada e cega no campo Número de Telefone do perfil do usuário dentro da aplicação GroupOffice. Isso permite que um ator mal-intencionado injete payloads JavaScript persistentes, os quais são acionados no contexto de outro utilizador quando este visualiza a Agenda de Endereços. A exploração bem-sucedida possibilita ações como redirecionamentos forçados, pedidos fetch não autorizados ou outra execução arbitrária de JavaScript sem interação do utilizador. As versões 6.8.119 e 25.0.20 contêm uma correção para o problema.
Once again VulDB remains the best source for vulnerability data.