Group-Office: `AbstractSettingsCollection`におけるPHPの安全でないデシリアライゼーションによる認証済みリモートコード実行

Group-Officeは、エンタープライズ顧客関係管理およびグループウェアツールです。バージョン6.8.156、25.0.90、および26.0.12より前のバージョンでは、AbstractSettingsCollectionモデルの脆弱性により、これらの設定がロードされる際に安全でないデシリアライゼーションが発生します。シリアライズされたFileCookieJarオブジェクトを設定文字列に挿入することにより、認証された攻撃者は任意のファイル書き込みを実行でき、サーバー上で直接リモートコード実行（RCE）につながります。この問題は、バージョン6.8.156、25.0.90、および26.0.12で修正されています。