Gratis scannen

Deze pagina is nog niet vertaald naar uw taal. We werken eraan — de inhoud wordt voorlopig in het Engels weergegeven.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

HIGHCVE-2026-46445CVSS 7.1

CVE-2026-46445: SQL Injection in SOGo

Platform

postgresql

Component

sogo

Opgelost in

5.12.7

Bekijk op NVD
Opslaan
Wordt vertaald naar uw taal…

CVE-2026-46445 describes a SQL Injection vulnerability affecting SOGo versions from 0.0.0 up to and including 5.12.7. This flaw allows attackers to inject malicious SQL code, potentially leading to unauthorized data access and manipulation. The vulnerability is specifically triggered when SOGo is configured to use a PostgreSQL database. A fix is available in version 5.12.7.

Impact en Aanvalsscenarioswordt vertaald…

Successful exploitation of CVE-2026-46445 could allow an attacker to bypass authentication and gain unauthorized access to the SOGo database. This could lead to the exfiltration of sensitive user data, including email content, calendar entries, and contact information. Depending on the database permissions, an attacker might also be able to modify or delete data, potentially disrupting SOGo services or causing data loss. The impact is particularly severe in environments where SOGo is used to manage critical business communications and data.

Uitbuitingscontextwordt vertaald…

CVE-2026-46445 was published on May 14, 2026. Severity is rated as HIGH (CVSS 7.1). There are currently no publicly known exploits or active campaigns targeting this vulnerability. The vulnerability is not listed on KEV (Known Exploited Vulnerabilities) as of the publication date. Monitor security advisories and threat intelligence feeds for any updates.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog
Rapporten1 dreigingsrapport

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:L7.1HIGHAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentsogo
LeverancierAlinto
Minimumversie0.0.0
Maximumversie5.12.7
Opgelost in5.12.7

Zwakheidsclassificatie (CWE)

CWE-89

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd

Mitigatie en Workaroundswordt vertaald…

The primary mitigation for CVE-2026-46445 is to upgrade SOGo to version 5.12.7 or later. Before upgrading, it's crucial to review the SOGo release notes for any potential breaking changes and test the upgrade in a non-production environment. As a temporary workaround, consider implementing strict input validation and sanitization on all user-supplied data that is used in SQL queries. While not a complete solution, this can help reduce the attack surface. Additionally, review PostgreSQL database user permissions to ensure they adhere to the principle of least privilege.

Hoe te verhelpenwordt vertaald…

Actualice SOGo a la versión 5.12.7 o posterior para mitigar la vulnerabilidad de inyección SQL. Esta actualización corrige una falla que permite a atacantes inyectar código SQL malicioso a través de consultas a la base de datos PostgreSQL.

Veelgestelde vragenwordt vertaald…

What is CVE-2026-46445 — SQL Injection in SOGo?

CVE-2026-46445 is a SQL Injection vulnerability affecting SOGo versions 0.0.0 through 5.12.7 when using PostgreSQL. It allows attackers to inject malicious SQL code to potentially access or modify the database.

Am I affected by CVE-2026-46445 in SOGo?

You are affected if you are running SOGo versions 0.0.0 through 5.12.7 and using a PostgreSQL database. Verify your SOGo version and upgrade if necessary.

How do I fix CVE-2026-46445 in SOGo?

Upgrade SOGo to version 5.12.7 or later. Review the release notes for potential breaking changes and test the upgrade in a non-production environment before applying it to production.

Is CVE-2026-46445 being actively exploited?

As of the publication date, there are no publicly known exploits or active campaigns targeting CVE-2026-46445. However, it's crucial to apply the fix promptly to mitigate potential future risks.

Where can I find the official SOGo advisory for CVE-2026-46445?

Refer to the official SOGo security advisories on the SOGo website: [https://www.sogo.nu/security/](https://www.sogo.nu/security/)

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...