Kostenlos scannen
HIGHCVE-2026-46445CVSS 7.1

CVE-2026-46445: SQL Injection in SOGo

Plattform

postgresql

Komponente

sogo

Behoben in

5.12.7

Auf NVD ansehen
Speichern

CVE-2026-46445 describes a SQL Injection vulnerability affecting SOGo versions 0.0.0 through 5.12.7. This flaw allows attackers to inject malicious SQL code, potentially leading to unauthorized data access and manipulation. The vulnerability specifically arises when SOGo is configured to use PostgreSQL. A patch is available in version 5.12.7.

Auswirkungen und Angriffsszenarien

Successful exploitation of CVE-2026-46445 could allow an attacker to bypass authentication, read sensitive data stored within the SOGo database (such as user credentials, calendar entries, and contact information), and potentially even modify or delete data. The impact is particularly severe if the database contains personally identifiable information (PII) or confidential business data. While the vulnerability is limited to PostgreSQL configurations, many organizations rely on PostgreSQL for its robustness and scalability, making this a significant risk.

Ausnutzungskontext

CVE-2026-46445 was published on 2026-05-14. Its severity is rated as HIGH (CVSS 7.1). Currently, there are no publicly known active campaigns exploiting this vulnerability. The absence of a public exploit does not diminish the risk, as attackers may be developing and testing exploits internally.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte1 Bedrohungsbericht

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L7.1HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityHighBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Hoch — erfordert eine Race-Condition, Nicht-Standard-Konfiguration oder spezifische Umstände.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponentesogo
HerstellerAlinto
Mindestversion0.0.0
Höchstversion5.12.7
Behoben in5.12.7

Schwachstellen-Klassifikation (CWE)

CWE-89

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workarounds

The primary mitigation for CVE-2026-46445 is to immediately upgrade SOGo to version 5.12.7 or later. If upgrading is not immediately feasible, consider implementing a Web Application Firewall (WAF) with rules to detect and block SQL injection attempts targeting SOGo. Carefully review SOGo's configuration to ensure that PostgreSQL connections are secured and that access controls are properly enforced. Monitor SOGo logs for suspicious SQL queries that might indicate an ongoing attack.

So behebenwird übersetzt…

Actualice SOGo a la versión 5.12.7 o posterior para mitigar la vulnerabilidad de inyección SQL. Esta actualización corrige una falla que permite a atacantes inyectar código SQL malicioso a través de consultas a la base de datos PostgreSQL.

Häufig gestellte Fragen

What is CVE-2026-46445 — SQL Injection in SOGo?

CVE-2026-46445 is a HIGH severity SQL Injection vulnerability affecting SOGo versions 0.0.0–5.12.7 when using PostgreSQL, allowing attackers to potentially extract or modify data.

Am I affected by CVE-2026-46445 in SOGo?

You are affected if you are running SOGo versions 0.0.0 through 5.12.7 and using PostgreSQL as your database. Check your version immediately.

How do I fix CVE-2026-46445 in SOGo?

Upgrade SOGo to version 5.12.7 or later to patch the vulnerability. Consider WAF rules as a temporary mitigation if immediate upgrade is not possible.

Is CVE-2026-46445 being actively exploited?

Currently, there are no publicly known active campaigns exploiting this vulnerability, but it remains a significant risk.

Where can I find the official SOGo advisory for CVE-2026-46445?

Refer to the official SOGo security advisory for detailed information and updates: [https://www.sogo.nu/security/advisories](https://www.sogo.nu/security/advisories)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...