CVE-2026-46446: SQL Injection en SOGo 0.0.0–5.12.7
Plataforma
mariadb
Componente
sogo
Corregido en
5.12.7
La vulnerabilidad CVE-2026-46446 es una inyección SQL que afecta a SOGo, un servidor de colaboración de código abierto, en versiones desde 0.0.0 hasta 5.12.7. Esta falla permite a un atacante inyectar código SQL malicioso, comprometiendo la integridad y confidencialidad de los datos almacenados. La vulnerabilidad se relaciona con el manejo de contraseñas en la función changePasswordForLogin cuando se utilizan bases de datos PostgreSQL o MariaDB con contraseñas almacenadas en texto plano. La solución es actualizar a la versión 5.12.7.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad podría obtener acceso no autorizado a la base de datos de SOGo. Esto podría resultar en la exfiltración de información sensible, como nombres de usuario, contraseñas (si no están hasheadas), correos electrónicos y otros datos personales. Además, la inyección SQL permite la ejecución de comandos arbitrarios en el servidor de la base de datos, lo que podría llevar a la toma de control completa del sistema. La combinación de acceso a la base de datos y ejecución de comandos abre la puerta a ataques de denegación de servicio (DoS), modificación de datos y, en última instancia, a la comprometer la infraestructura subyacente. La falta de cifrado de contraseñas agrava significativamente el impacto, ya que las credenciales podrían ser directamente comprometidas.
Contexto de Explotación
La vulnerabilidad CVE-2026-46446 fue publicada el 14 de mayo de 2026. Actualmente, no se dispone de información sobre campañas de explotación activas o la inclusión en KEV. La puntuación EPSS aún está pendiente de evaluación. Aunque no se han reportado explotaciones públicas, la naturaleza de la inyección SQL y la posibilidad de obtener acceso directo a la base de datos la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca los sistemas SOGo y aplicar la actualización lo antes posible.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Bajo — denegación de servicio parcial o intermitente.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2026-46446 es actualizar SOGo a la versión 5.12.7 o superior, que corrige la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda tomar medidas temporales. En primer lugar, asegúrese de que las contraseñas se almacenen de forma segura, utilizando funciones de hash robustas y salting. En segundo lugar, implemente reglas en un firewall de aplicaciones web (WAF) o proxy para filtrar tráfico malicioso que contenga patrones de inyección SQL. Específicamente, busque patrones como UNION SELECT, OR 1=1, y comentarios SQL (-- o /* */). Finalmente, revise y endurezca la configuración de la base de datos PostgreSQL o MariaDB para limitar los privilegios del usuario de SOGo y restringir el acceso a datos sensibles. Después de la actualización, verifique la integridad de la base de datos y la configuración de seguridad.
Cómo corregirlotraduciendo…
Actualice SOGo a la versión 5.12.7 o posterior para mitigar la vulnerabilidad de inyección SQL. Esta actualización corrige la forma en que se manejan las contraseñas en la función changePasswordForLogin, evitando la posibilidad de inyección SQL cuando se utilizan PostgreSQL o MariaDB con contraseñas almacenadas en texto plano.
Preguntas frecuentes
¿Qué es CVE-2026-46446 — Inyección SQL en SOGo?
CVE-2026-46446 es una vulnerabilidad de inyección SQL en SOGo versiones 0.0.0 hasta 5.12.7 que permite a un atacante ejecutar código SQL malicioso y acceder a datos sensibles.
¿Am I affected by CVE-2026-46446 en SOGo?
Si está utilizando SOGo en versiones 0.0.0 hasta 5.12.7 y su base de datos es PostgreSQL o MariaDB con contraseñas almacenadas en texto plano, es vulnerable a esta inyección SQL.
¿Cómo puedo arreglar CVE-2026-46446 en SOGo?
La solución es actualizar SOGo a la versión 5.12.7 o superior. Mientras tanto, implemente medidas de mitigación como WAF y cifrado de contraseñas.
¿Se está explotando activamente CVE-2026-46446?
Actualmente no hay información sobre campañas de explotación activas, pero la vulnerabilidad es atractiva para los atacantes y se recomienda aplicar la actualización lo antes posible.
¿Dónde puedo encontrar el advisory oficial de SOGo para CVE-2026-46446?
Consulte el sitio web oficial de SOGo o su canal de seguridad para obtener el advisory oficial relacionado con CVE-2026-46446.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...