Plateforme
php
Composant
groupoffice
Corrigé dans
6.8.159
25.0.93
26.0.18
CVE-2026-33755 est une vulnérabilité d'injection SQL affectant Groupoffice. Elle permet à un utilisateur authentifié d'extraire des données arbitraires de la base de données, y compris les jetons de session d'autres utilisateurs, conduisant à une prise de contrôle complète du compte. Les versions affectées sont celles antérieures à 6.8.158, 25.0.92 et 26.0.17. La version 6.8.158 corrige cette vulnérabilité.
CVE-2026-33755 affecte Group-Office, un outil de gestion de la relation client (CRM) et de groupware d'entreprise. La vulnérabilité, une injection SQL authentifiée dans le point d'extrémité JMAP Contact/query, permet à un utilisateur authentifié disposant d'un accès de base au carnet d'adresses d'extraire des données arbitraires de la base de données. Cela inclut les jetons de session actifs d'autres utilisateurs, ce qui permet de prendre le contrôle total de n'importe quel compte utilisateur, y compris celui de l'administrateur système, sans connaître son mot de passe. La gravité de cette vulnérabilité est élevée (CVSS 8.8) en raison du potentiel d'accès non autorisé à des informations sensibles et de contrôle total sur les comptes utilisateurs. Il est essentiel de mettre à jour vers la version 6.8.158 ou ultérieure pour atténuer ce risque. Une exploitation réussie peut entraîner l'exposition de données confidentielles, la manipulation d'informations critiques et la perturbation des opérations commerciales.
La vulnérabilité est exploitée via le point d'extrémité JMAP Contact/query. Un attaquant authentifié, disposant d'un accès de base au carnet d'adresses, peut manipuler les requêtes SQL pour extraire des données de la base de données. L'injection SQL permet à l'attaquant d'exécuter des commandes SQL arbitraires, ce qui lui permet d'accéder à des informations sensibles, telles que les jetons de session. La possibilité d'obtenir des jetons de session actifs permet à l'attaquant d'usurper l'identité d'autres utilisateurs, y compris de l'administrateur système, sans connaître leurs mots de passe. L'authentification est un prérequis, mais une fois authentifié, l'attaquant peut exploiter la vulnérabilité pour obtenir un accès non autorisé. La complexité de l'exploitation est relativement faible, ce qui augmente le risque qu'elle soit exploitée par des attaquants de différents niveaux de compétence.
Organizations utilizing GroupOffice for customer relationship management and groupware, particularly those with multiple users and System Administrator accounts, are at significant risk. Shared hosting environments where multiple GroupOffice instances share the same database are especially vulnerable, as a compromise in one instance could potentially expose data from others.
• linux / server:
journalctl -u groupoffice | grep -i "SQL injection"• php:
Review GroupOffice application logs for SQL error messages or unusual database queries originating from the Contact/query endpoint.
• generic web:
Use curl to test the Contact/query endpoint with crafted SQL injection payloads. Monitor response headers for errors or unexpected data.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2026-33755 consiste à mettre à jour Group-Office vers la version 6.8.158 ou ultérieure. Ces versions incluent une correction pour la vulnérabilité d'injection SQL. Nous vous recommandons vivement d'appliquer cette mise à jour immédiatement pour protéger votre système contre d'éventuelles attaques. De plus, examinez les politiques de sécurité de votre organisation, y compris la gestion des mots de passe et l'authentification des utilisateurs, afin de vous assurer qu'elles sont conformes aux meilleures pratiques de sécurité. Surveillez les journaux de Group-Office à la recherche d'activités suspectes et envisagez de mettre en œuvre un système de détection d'intrusion (IDS) pour identifier et répondre aux attaques potentielles en temps réel. La mise à jour est la mesure la plus efficace pour éliminer la vulnérabilité.
Actualice Group-Office a las versiones 6.8.158, 25.0.92 o 26.0.17, o a una versión posterior, para corregir la vulnerabilidad de inyección SQL. Esto evitará la posible extracción de datos confidenciales y la toma de control de cuentas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions antérieures à 6.8.158, 25.0.92 et 26.0.17 sont vulnérables.
Vérifiez la version de Group-Office dans la configuration du système. Si elle est antérieure aux versions mentionnées, mettez-la à jour immédiatement.
Modifiez immédiatement les mots de passe de tous les utilisateurs, examinez les journaux du système à la recherche d'activités suspectes et envisagez de réaliser un audit de sécurité.
Actuellement, il n'existe pas d'outils spécifiques disponibles, mais nous vous recommandons de réaliser des tests d'intrusion et des audits de sécurité.
JMAP (JavaScript Object Manipulation API) est un protocole permettant d'accéder et de manipuler des données dans les applications de messagerie, de calendrier et de contacts.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.