प्लेटफ़ॉर्म
php
घटक
groupoffice
में ठीक किया गया
6.8.159
25.0.93
26.0.18
CVE-2026-33755 Groupoffice में एक SQL इंजेक्शन भेद्यता है। इसका मतलब है कि एक हमलावर डेटाबेस से संवेदनशील जानकारी निकालने के लिए SQL कमांड इंजेक्ट कर सकता है। यह भेद्यता संस्करण ≤< 26.0.17 को प्रभावित करती है। संस्करण 6.8.158 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-33755 उद्यम ग्राहक संबंध प्रबंधन (CRM) और समूह कार्य उपकरण Group-Office को प्रभावित करता है। यह भेद्यता JMAP Contact/query एंडपॉइंट पर प्रमाणित SQL इंजेक्शन है, जो बुनियादी पता पुस्तिका पहुंच वाले प्रमाणित उपयोगकर्ता को डेटाबेस से मनमाना डेटा निकालने की अनुमति देता है। इसमें अन्य उपयोगकर्ताओं के सक्रिय सत्र टोकन शामिल हैं, जो पासवर्ड जाने बिना सिस्टम व्यवस्थापक सहित किसी भी उपयोगकर्ता खाते को पूरी तरह से ओवरटेक करने की अनुमति देता है। इस भेद्यता की गंभीरता उच्च है (CVSS 8.8) क्योंकि संवेदनशील जानकारी तक अनधिकृत पहुंच और उपयोगकर्ता खातों पर पूर्ण नियंत्रण का जोखिम है। इस जोखिम को कम करने के लिए संस्करण 6.8.158 या उच्चतर में अपग्रेड करना आवश्यक है। सफल शोषण से गोपनीय डेटा का खुलासा, महत्वपूर्ण जानकारी का हेरफेर और व्यावसायिक संचालन में व्यवधान हो सकता है।
यह भेद्यता JMAP Contact/query एंडपॉइंट के माध्यम से शोषण की जाती है। बुनियादी पता पुस्तिका पहुंच वाले प्रमाणित हमलावर डेटाबेस से डेटा निकालने के लिए SQL क्वेरी को हेरफेर कर सकते हैं। SQL इंजेक्शन हमलावर को मनमाना SQL कमांड निष्पादित करने की अनुमति देता है, जिससे उन्हें सत्र टोकन जैसे संवेदनशील जानकारी तक पहुंच मिलती है। सक्रिय सत्र टोकन प्राप्त करने की क्षमता हमलावर को पासवर्ड जाने बिना अन्य उपयोगकर्ताओं, जिसमें सिस्टम व्यवस्थापक भी शामिल है, के रूप में प्रच्छन्न होने की अनुमति देती है। प्रमाणीकरण एक पूर्व शर्त है, लेकिन एक बार उपयोगकर्ता प्रमाणित हो जाने के बाद, हमलावर इस भेद्यता का उपयोग अनधिकृत पहुंच प्राप्त करने के लिए कर सकता है। शोषण की जटिलता अपेक्षाकृत कम है, जिससे विभिन्न कौशल स्तरों के हमलावरों द्वारा इसका शोषण किए जाने का जोखिम बढ़ जाता है।
Organizations utilizing GroupOffice for customer relationship management and groupware, particularly those with multiple users and System Administrator accounts, are at significant risk. Shared hosting environments where multiple GroupOffice instances share the same database are especially vulnerable, as a compromise in one instance could potentially expose data from others.
• linux / server:
journalctl -u groupoffice | grep -i "SQL injection"• php:
Review GroupOffice application logs for SQL error messages or unusual database queries originating from the Contact/query endpoint.
• generic web:
Use curl to test the Contact/query endpoint with crafted SQL injection payloads. Monitor response headers for errors or unexpected data.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33755 के लिए समाधान Group-Office को संस्करण 6.8.158 या उच्चतर में अपग्रेड करना है। इन संस्करणों में SQL इंजेक्शन भेद्यता के लिए एक फिक्स शामिल है। संभावित हमलों से अपने सिस्टम की सुरक्षा के लिए इस अपडेट को तुरंत लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, अपने संगठन की सुरक्षा नीतियों की समीक्षा करें, जिसमें पासवर्ड प्रबंधन और उपयोगकर्ता प्रमाणीकरण शामिल हैं, यह सुनिश्चित करने के लिए कि वे सुरक्षा सर्वोत्तम प्रथाओं के अनुरूप हैं। संभावित हमलों को वास्तविक समय में पहचानने और उनका जवाब देने के लिए घुसपैठ का पता लगाने वाले सिस्टम (IDS) को लागू करते हुए Group-Office लॉग की निगरानी करें। भेद्यता को खत्म करने का सबसे प्रभावी उपाय अपडेट है।
Actualice Group-Office a las versiones 6.8.158, 25.0.92 o 26.0.17, o a una versión posterior, para corregir la vulnerabilidad de inyección SQL. Esto evitará la posible extracción de datos confidenciales y la toma de control de cuentas.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
6.8.158, 25.0.92 और 26.0.17 से पहले के संस्करण भेद्य हैं।
सिस्टम कॉन्फ़िगरेशन में Group-Office संस्करण की जांच करें। यदि यह उल्लिखित संस्करणों से पुराना है, तो तुरंत अपडेट करें।
तुरंत सभी उपयोगकर्ताओं के पासवर्ड बदलें, संदिग्ध गतिविधि के लिए सिस्टम लॉग की जांच करें और सुरक्षा ऑडिट करने पर विचार करें।
वर्तमान में कोई विशिष्ट उपकरण उपलब्ध नहीं है, लेकिन हम प्रवेश परीक्षण और सुरक्षा ऑडिट करने की अनुशंसा करते हैं।
JMAP (जावास्क्रिप्ट ऑब्जेक्ट मैनिपुलेशन एपीआई) एक प्रोटोकॉल है जिसका उपयोग ईमेल, कैलेंडर और संपर्क अनुप्रयोगों में डेटा तक पहुंचने और हेरफेर करने के लिए किया जाता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।