Group-Office: `AbstractSettingsCollection` में PHP असुरक्षित डिसेरियलाइज़ेशन के माध्यम से प्रमाणित रिमोट कोड एग्जीक्यूशन

Group-Office एक एंटरप्राइज कस्टमर रिलेशनशिप मैनेजमेंट और ग्रुपवेयर टूल है। संस्करण 6.8.156, 25.0.90, और 26.0.12 से पहले, AbstractSettingsCollection मॉडल में एक भेद्यता इन सेटिंग्स के लोड होने पर असुरक्षित डिसेरियलाइज़ेशन की ओर ले जाती है। एक सेटिंग स्ट्रिंग में एक सीरियलाइज्ड FileCookieJar ऑब्जेक्ट इंजेक्ट करके, एक प्रमाणित हमलावर आर्बिट्रेरी फाइल राइट प्राप्त कर सकता है, जिससे सीधे सर्वर पर रिमोट कोड एग्जीक्यूशन (RCE) हो सकता है। इस समस्या को संस्करण 6.8.156, 25.0.90 और 26.0.12 में ठीक कर दिया गया है।