Kostenlos scannen
HIGHCVE-2026-46446CVSS 7.1

CVE-2026-46446: SQL Injection in SOGo

Plattform

mariadb

Komponente

sogo

Behoben in

5.12.7

Auf NVD ansehen
Speichern

CVE-2026-46446 describes a SQL Injection vulnerability affecting SOGo versions 0.0.0 through 5.12.7. This flaw allows attackers to inject malicious SQL code, potentially leading to unauthorized data access and manipulation. The vulnerability specifically arises when SOGo is configured to use PostgreSQL or MariaDB and cleartext passwords are stored. A patch is available in version 5.12.7.

Auswirkungen und Angriffsszenarien

Successful exploitation of CVE-2026-46446 could allow an attacker to bypass authentication, read sensitive data stored within the SOGo database (such as user credentials, calendar entries, and contact information), and potentially even modify or delete data. The vulnerability is exacerbated by the storage of cleartext passwords, making it significantly easier for an attacker to compromise user accounts. The 'changePasswordForLogin' function is the specific point of vulnerability.

Ausnutzungskontext

CVE-2026-46446 was published on 2026-05-14. Its severity is rated as HIGH (CVSS 7.1). Currently, there are no publicly known active campaigns exploiting this vulnerability. The absence of a public exploit does not diminish the risk, as attackers may be developing and testing exploits internally.

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L7.1HIGHAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityHighBedingungen zur erfolgreichen AusnutzungPrivileges RequiredLowErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityLowRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Hoch — erfordert eine Race-Condition, Nicht-Standard-Konfiguration oder spezifische Umstände.
Privileges Required
Niedrig — jedes gültige Benutzerkonto ist ausreichend.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Niedrig — partieller oder intermittierender Denial of Service.

Betroffene Software

Komponentesogo
HerstellerAlinto
Mindestversion0.0.0
Höchstversion5.12.7
Behoben in5.12.7

Schwachstellen-Klassifikation (CWE)

CWE-89

Zeitleiste

  1. Reserviert
  2. Veröffentlicht

Mitigation und Workarounds

The primary mitigation for CVE-2026-46446 is to immediately upgrade SOGo to version 5.12.7 or later. Crucially, ensure that SOGo is not configured to store passwords in cleartext. Implement strong password policies and consider using multi-factor authentication (MFA) to further enhance security. As with CVE-2026-46445, a WAF can provide temporary protection while upgrading.

So behebenwird übersetzt…

Actualice SOGo a la versión 5.12.7 o posterior para mitigar la vulnerabilidad de inyección SQL. Esta actualización corrige la forma en que se manejan las contraseñas en la función changePasswordForLogin, evitando la posibilidad de inyección SQL cuando se utilizan PostgreSQL o MariaDB con contraseñas almacenadas en texto plano.

Häufig gestellte Fragen

What is CVE-2026-46446 — SQL Injection in SOGo?

CVE-2026-46446 is a HIGH severity SQL Injection vulnerability in SOGo versions 0.0.0–5.12.7, particularly when using PostgreSQL/MariaDB and storing cleartext passwords.

Am I affected by CVE-2026-46446 in SOGo?

You are affected if you are running SOGo versions 0.0.0 through 5.12.7, using PostgreSQL or MariaDB, and storing passwords in cleartext. Check your configuration immediately.

How do I fix CVE-2026-46446 in SOGo?

Upgrade SOGo to version 5.12.7 or later and ensure that passwords are not stored in cleartext. Implement MFA for enhanced security.

Is CVE-2026-46446 being actively exploited?

Currently, there are no publicly known active campaigns exploiting this vulnerability, but it remains a significant risk.

Where can I find the official SOGo advisory for CVE-2026-46446?

Refer to the official SOGo security advisory for detailed information and updates: [https://www.sogo.nu/security/advisories](https://www.sogo.nu/security/advisories)

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen
liveKostenloser Scan

Jetzt testen — kein Konto

Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.

Manueller ScanSlack/E-Mail-AlertsKontinuierliche ÜberwachungWhite-Label-Berichte

Abhängigkeitsdatei hier ablegen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...