Group-Office : Exécution de code à distance authentifiée via une désérialisation PHP non sécurisée dans `AbstractSettingsCollection`

Group-Office est un outil de gestion de la relation client et de groupware d’entreprise. Avant les versions 6.8.156, 25.0.90 et 26.0.12, une vulnérabilité dans le modèle AbstractSettingsCollection entraîne une désérialisation non sécurisée lors du chargement de ces paramètres. En injectant un objet FileCookieJar sérialisé dans une chaîne de paramètres, un attaquant authentifié peut parvenir à une écriture de fichier arbitraire, ce qui conduit directement à une exécution de code à distance (RCE) sur le serveur. Ce problème a été corrigé dans les versions 6.8.156, 25.0.90 et 26.0.12.