Plattform
php
Komponente
groupoffice
Behoben in
6.8.159
25.0.93
26.0.18
CVE-2026-33755 describes an SQL Injection vulnerability affecting Groupoffice, a customer relationship management and groupware tool. This flaw allows authenticated users with basic addressbook access to extract arbitrary data from the database, potentially leading to account takeover. The vulnerability affects Groupoffice versions less than or equal to 26.0.17. The issue is resolved in versions 6.8.158, 25.0.92, and 26.0.17.
CVE-2026-33755 betrifft Group-Office, ein Unternehmens-CRM- und Groupware-Tool. Die Schwachstelle, eine authentifizierte SQL-Injection im JMAP Contact/query-Endpunkt, ermöglicht einem authentifizierten Benutzer mit grundlegenden Adressbuchrechten, beliebige Daten aus der Datenbank zu extrahieren. Dies umfasst aktive Sitzungstoken anderer Benutzer, was die vollständige Übernahme von Benutzerkonten ermöglicht, einschließlich der des Systemadministrators, ohne das Passwort zu kennen. Die Schwere dieser Schwachstelle ist hoch (CVSS 8.8) aufgrund des Potenzials für unbefugten Zugriff auf sensible Informationen und vollständige Kontrolle über Benutzerkonten. Es ist entscheidend, auf Version 6.8.158 oder höher zu aktualisieren, um dieses Risiko zu mindern. Eine erfolgreiche Ausnutzung kann zur Offenlegung vertraulicher Daten, zur Manipulation kritischer Informationen und zur Unterbrechung von Geschäftsabläufen führen.
Die Schwachstelle wird über den JMAP Contact/query-Endpunkt ausgenutzt. Ein authentifizierter Angreifer mit grundlegenden Adressbuchrechten kann SQL-Abfragen manipulieren, um Daten aus der Datenbank zu extrahieren. Die SQL-Injection ermöglicht es dem Angreifer, beliebige SQL-Befehle auszuführen, was ihm den Zugriff auf sensible Informationen wie Sitzungstoken ermöglicht. Die Möglichkeit, aktive Sitzungstoken zu erhalten, ermöglicht es dem Angreifer, sich als andere Benutzer auszugeben, einschließlich des Systemadministrators, ohne deren Passwörter zu kennen. Die Authentifizierung ist eine Voraussetzung, aber sobald ein Benutzer authentifiziert ist, kann der Angreifer die Schwachstelle ausnutzen, um unbefugten Zugriff zu erlangen. Die Komplexität der Ausnutzung ist relativ gering, was das Risiko erhöht, dass sie von Angreifern mit unterschiedlichen Fähigkeiten ausgenutzt wird.
Organizations utilizing GroupOffice for customer relationship management and groupware, particularly those with multiple users and System Administrator accounts, are at significant risk. Shared hosting environments where multiple GroupOffice instances share the same database are especially vulnerable, as a compromise in one instance could potentially expose data from others.
• linux / server:
journalctl -u groupoffice | grep -i "SQL injection"• php:
Review GroupOffice application logs for SQL error messages or unusual database queries originating from the Contact/query endpoint.
• generic web:
Use curl to test the Contact/query endpoint with crafted SQL injection payloads. Monitor response headers for errors or unexpected data.
disclosure
Exploit-Status
EPSS
0.03% (10% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-33755 ist die Aktualisierung von Group-Office auf Version 6.8.158 oder höher. Diese Versionen enthalten eine Korrektur für die SQL-Injection-Schwachstelle. Wir empfehlen dringend, dieses Update sofort anzuwenden, um Ihr System vor potenziellen Angriffen zu schützen. Überprüfen Sie außerdem die Sicherheitsrichtlinien Ihrer Organisation, einschließlich Passwortverwaltung und Benutzerauthentifizierung, um sicherzustellen, dass sie mit Best Practices übereinstimmen. Überwachen Sie die Group-Office-Protokolle auf verdächtige Aktivitäten und erwägen Sie die Implementierung eines Intrusion Detection Systems (IDS), um potenzielle Angriffe in Echtzeit zu erkennen und darauf zu reagieren. Das Update ist die effektivste Maßnahme, um die Schwachstelle zu beseitigen.
Actualice Group-Office a las versiones 6.8.158, 25.0.92 o 26.0.17, o a una versión posterior, para corregir la vulnerabilidad de inyección SQL. Esto evitará la posible extracción de datos confidenciales y la toma de control de cuentas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Versionen vor 6.8.158, 25.0.92 und 26.0.17 sind anfällig.
Überprüfen Sie die Version von Group-Office in der Systemeinstellungen. Wenn sie älter als die genannten Versionen ist, aktualisieren Sie sie umgehend.
Ändern Sie sofort die Passwörter aller Benutzer, überprüfen Sie die Systemprotokolle auf verdächtige Aktivitäten und erwägen Sie die Durchführung einer Sicherheitsprüfung.
Derzeit gibt es keine spezifischen Tools, aber wir empfehlen, Penetrationstests und Sicherheitsaudits durchzuführen.
JMAP (JavaScript Object Manipulation API) ist ein Protokoll zum Zugriff und zur Manipulation von Daten in E-Mail-, Kalender- und Kontaktanwendungen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.