プラットフォーム
php
コンポーネント
groupoffice
修正版
6.8.159
25.0.93
26.0.18
CVE-2026-33755は、GroupOfficeにおけるSQLインジェクションの脆弱性です。この脆弱性により、認証されたユーザーがデータベースから任意のデータを抽出できる可能性があります。6.8.158, 25.0.92, 26.0.17より前のバージョンが影響を受けます。この問題はバージョン6.8.158, 25.0.92, 26.0.17で修正されています。
CVE-2026-33755 は、企業向け顧客関係管理 (CRM) およびグループウェアツールである Group-Office に影響を与えます。この脆弱性は、JMAP Contact/query エンドポイントにおける認証済み SQL インジェクションであり、基本的なアドレス帳アクセス権限を持つ認証済みユーザーがデータベースから任意のデータを抽出することを可能にします。これには、他のユーザーの有効なセッショントークンが含まれており、パスワードを知らなくてもシステム管理者を含む任意のユーザーアカウントを完全に乗っ取ることができます。この脆弱性の重大度は高く (CVSS 8.8)、機密情報の不正アクセスやユーザーアカウントの完全な制御の可能性が高いためです。このリスクを軽減するには、バージョン 6.8.158 以降にアップデートすることが不可欠です。攻撃が成功すると、機密データの漏洩、重要な情報の操作、および事業活動の混乱につながる可能性があります。
この脆弱性は、JMAP Contact/query エンドポイントを通じて悪用されます。基本的なアドレス帳アクセス権限を持つ認証済み攻撃者は、SQL クエリを操作してデータベースからデータを抽出できます。SQL インジェクションにより、攻撃者は任意の SQL コマンドを実行でき、セッショントークンなどの機密情報にアクセスできます。有効なセッショントークンを取得できるということは、攻撃者がパスワードを知らなくてもシステム管理者を含む他のユーザーになりすますことができることを意味します。認証は前提条件ですが、認証されると、攻撃者はこの脆弱性を悪用して不正アクセスを得ることができます。悪用の複雑さは比較的低いため、さまざまなスキルレベルの攻撃者によって悪用されるリスクが高まります。
Organizations utilizing GroupOffice for customer relationship management and groupware, particularly those with multiple users and System Administrator accounts, are at significant risk. Shared hosting environments where multiple GroupOffice instances share the same database are especially vulnerable, as a compromise in one instance could potentially expose data from others.
• linux / server:
journalctl -u groupoffice | grep -i "SQL injection"• php:
Review GroupOffice application logs for SQL error messages or unusual database queries originating from the Contact/query endpoint.
• generic web:
Use curl to test the Contact/query endpoint with crafted SQL injection payloads. Monitor response headers for errors or unexpected data.
disclosure
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
CVE-2026-33755 の解決策は、Group-Office をバージョン 6.8.158 以降にアップデートすることです。これらのバージョンには、SQL インジェクション脆弱性に対する修正が含まれています。潜在的な攻撃からシステムを保護するために、このアップデートを直ちに適用することを強くお勧めします。さらに、組織のセキュリティポリシー(パスワード管理およびユーザー認証を含む)を見直し、セキュリティのベストプラクティスに準拠していることを確認してください。Group-Office のログを監視して疑わしいアクティビティを検出し、リアルタイムで潜在的な攻撃を特定して対応するために、侵入検知システム (IDS) の実装を検討してください。脆弱性を排除するための最も効果的な対策はアップデートです。
Group-Office をバージョン 6.8.158、25.0.92、または 26.0.17、またはそれ以降のバージョンにアップデートして、SQL インジェクションの脆弱性を修正してください。これにより、機密データの抽出とアカウントのテイクオーバーを防ぐことができます。
脆弱性分析と重要アラートをメールでお届けします。
6.8.158、25.0.92、および 26.0.17 以前のバージョンが脆弱です。
システム構成で Group-Office のバージョンを確認します。言及されているバージョンより古い場合は、すぐにアップデートしてください。
すべてのユーザーのパスワードをすぐに変更し、システムログを疑わしいアクティビティがないか確認し、セキュリティ監査の実施を検討してください。
現在、特定のツールはありませんが、ペネトレーションテストとセキュリティ監査を実施することをお勧めします。
JMAP (JavaScript Object Manipulation API) は、電子メール、カレンダー、および連絡先アプリケーションでデータにアクセスおよび操作するためのプロトコルです。
CVSS ベクトル