Authenticated SQL Injection (geauthenticeerde SQL-injectie) in Contact/query addressBookIds filter

Group-Office is een enterprise customer relationship management- en groupwaretool. Voor versies 6.8.158, 25.0.92 en 26.0.17 stelt een authenticated SQL Injection (geauthenticeerde SQL-injectie) kwetsbaarheid in het JMAP `Contact/query` endpoint elke geauthenticeerde gebruiker met basis-adresboektoegang in staat om willekeurige gegevens uit de database te extraheren, inclusief actieve sessietokens van andere gebruikers. Dit maakt volledige accountovername van elke gebruiker mogelijk, inclusief de systeembeheerder, zonder hun wachtwoord te kennen. Versies 6.8.158, 25.0.92 en 26.0.17 verhelpen dit probleem.