Platform
php
Component
groupoffice
Opgelost in
6.8.159
25.0.93
26.0.18
CVE-2026-33755 is een SQL Injectie kwetsbaarheid in Groupoffice, een enterprise CRM en groupware tool. Deze kwetsbaarheid maakt het mogelijk voor een geauthenticeerde gebruiker met basis adresboek toegang om willekeurige data uit de database te extraheren, inclusief actieve sessie tokens van andere gebruikers. Dit kan leiden tot volledige account overname, zelfs van de systeembeheerder. De kwetsbaarheid treft versies lager dan 26.0.17. De kwetsbaarheid is verholpen in versie 6.8.158.
CVE-2026-33755 treft Group-Office, een CRM- en groupware-tool voor bedrijven. De kwetsbaarheid, een geauthenticeerde SQL-injectie in de JMAP Contact/query-endpoint, stelt een geauthenticeerde gebruiker met basisadresboektoegang in staat om willekeurige gegevens uit de database te extraheren. Dit omvat actieve sessietokens van andere gebruikers, waardoor de volledige overname van gebruikersaccounts mogelijk is, inclusief die van de systeembeheerder, zonder hun wachtwoord te kennen. De ernst van deze kwetsbaarheid is hoog (CVSS 8.8) vanwege het potentieel voor ongeautoriseerde toegang tot gevoelige informatie en volledige controle over gebruikersaccounts. Het is cruciaal om te updaten naar versie 6.8.158 of hoger om dit risico te beperken. Een succesvolle exploitatie kan leiden tot de openbaarmaking van vertrouwelijke gegevens, manipulatie van kritieke informatie en verstoring van bedrijfsvoering.
De kwetsbaarheid wordt uitgebuit via de JMAP Contact/query-endpoint. Een geauthenticeerde aanvaller, met basisadresboektoegang, kan SQL-query's manipuleren om gegevens uit de database te extraheren. De SQL-injectie stelt de aanvaller in staat om willekeurige SQL-commando's uit te voeren, waardoor ze toegang krijgen tot gevoelige informatie, zoals sessietokens. Het vermogen om actieve sessietokens te verkrijgen, stelt de aanvaller in staat om zich voor te doen als andere gebruikers, inclusief de systeembeheerder, zonder hun wachtwoorden te kennen. Authenticatie is een voorwaarde, maar zodra een gebruiker is geauthenticeerd, kan de aanvaller de kwetsbaarheid uitbuiten om ongeautoriseerde toegang te krijgen. De complexiteit van de exploitatie is relatief laag, waardoor het risico toeneemt dat deze wordt uitgebuit door aanvallers met verschillende vaardigheidsniveaus.
Organizations utilizing GroupOffice for customer relationship management and groupware, particularly those with multiple users and System Administrator accounts, are at significant risk. Shared hosting environments where multiple GroupOffice instances share the same database are especially vulnerable, as a compromise in one instance could potentially expose data from others.
• linux / server:
journalctl -u groupoffice | grep -i "SQL injection"• php:
Review GroupOffice application logs for SQL error messages or unusual database queries originating from the Contact/query endpoint.
• generic web:
Use curl to test the Contact/query endpoint with crafted SQL injection payloads. Monitor response headers for errors or unexpected data.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-33755 is het updaten van Group-Office naar versie 6.8.158 of hoger. Deze versies bevatten een correctie voor de SQL-injectie kwetsbaarheid. We raden ten zeerste aan om deze update onmiddellijk toe te passen om uw systeem te beschermen tegen potentiële aanvallen. Controleer bovendien de beveiligingsbeleidsregels van uw organisatie, inclusief wachtwoordbeheer en gebruikersauthenticatie, om ervoor te zorgen dat ze in overeenstemming zijn met best practices. Bewaak de Group-Office-logboeken op verdachte activiteiten en overweeg de implementatie van een Intrusion Detection System (IDS) om potentiële aanvallen in realtime te detecteren en erop te reageren. De update is de meest effectieve maatregel om de kwetsbaarheid te elimineren.
Actualice Group-Office a las versiones 6.8.158, 25.0.92 o 26.0.17, o a una versión posterior, para corregir la vulnerabilidad de inyección SQL. Esto evitará la posible extracción de datos confidenciales y la toma de control de cuentas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Versies vóór 6.8.158, 25.0.92 en 26.0.17 zijn kwetsbaar.
Controleer de versie van Group-Office in de systeemconfiguratie. Als deze ouder is dan de genoemde versies, update deze dan onmiddellijk.
Wijzig onmiddellijk de wachtwoorden van alle gebruikers, controleer de systeemlogboeken op verdachte activiteiten en overweeg een beveiligingsaudit uit te voeren.
Momenteel zijn er geen specifieke tools beschikbaar, maar we raden aan penetratietests en beveiligingsaudits uit te voeren.
JMAP (JavaScript Object Manipulation API) is een protocol voor het toegang krijgen tot en manipuleren van gegevens in e-mail-, kalender- en contactapplicaties.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.