Group-Office: Authenticated Remote Code Execution via PHP Insecure Deserialization in `AbstractSettingsCollection`

Group-Office is een enterprise customer relationship management- en groupwaretool. Voor versies 6.8.156, 25.0.90 en 26.0.12 leidt een kwetsbaarheid in het AbstractSettingsCollection-model tot onveilige deserialisatie wanneer deze instellingen worden geladen. Door een geserialiseerd FileCookieJar-object in een instellingstring te injecteren, kan een geauthenticeerde aanvaller Arbitrary File Write bereiken, wat direct leidt tot Remote Code Execution (RCE) op de server. Dit probleem is verholpen in versies 6.8.156, 25.0.90 en 26.0.12.