Plataforma
php
Componente
groupoffice
Corrigido em
6.8.159
25.0.93
26.0.18
CVE-2026-33755 é uma vulnerabilidade de SQL Injection no endpoint Contact/query do Groupoffice. Um usuário autenticado com acesso básico ao catálogo de endereços pode extrair dados arbitrários do banco de dados, incluindo tokens de sessão ativos de outros usuários, permitindo a tomada de controle total da conta. Afeta versões anteriores a 6.8.158, 25.0.92 e 26.0.17. A vulnerabilidade foi corrigida nas versões 6.8.158, 25.0.92 e 26.0.17.
CVE-2026-33755 afeta o Group-Office, uma ferramenta de gestão de relacionamento com o cliente (CRM) e grupo de trabalho empresarial. A vulnerabilidade, uma injeção SQL autenticada no endpoint JMAP Contact/query, permite que um usuário autenticado com acesso básico ao catálogo de endereços extraia dados arbitrários do banco de dados. Isso inclui tokens de sessão ativos de outros usuários, permitindo a tomada de controle total de qualquer conta de usuário, incluindo a do Administrador do Sistema, sem a necessidade de conhecer a senha. A gravidade desta vulnerabilidade é alta (CVSS 8.8) devido ao potencial de acesso não autorizado a informações confidenciais e controle total sobre as contas de usuário. É crucial atualizar para a versão 6.8.158 ou superior para mitigar este risco. A exploração bem-sucedida pode resultar na exposição de dados confidenciais, na manipulação de informações críticas e na interrupção das operações comerciais.
A vulnerabilidade é explorada através do endpoint JMAP Contact/query. Um atacante autenticado, com acesso básico ao catálogo de endereços, pode manipular as consultas SQL para extrair dados do banco de dados. A injeção SQL permite que o atacante execute comandos SQL arbitrários, permitindo que ele acesse informações confidenciais, como tokens de sessão. A capacidade de obter tokens de sessão ativos permite que o atacante se passe por outros usuários, incluindo o administrador do sistema, sem a necessidade de conhecer suas senhas. A autenticação é um pré-requisito, mas uma vez autenticado, o atacante pode explorar a vulnerabilidade para obter acesso não autorizado. A complexidade da exploração é relativamente baixa, aumentando o risco de ser explorada por atacantes com diferentes níveis de habilidade.
Organizations utilizing GroupOffice for customer relationship management and groupware, particularly those with multiple users and System Administrator accounts, are at significant risk. Shared hosting environments where multiple GroupOffice instances share the same database are especially vulnerable, as a compromise in one instance could potentially expose data from others.
• linux / server:
journalctl -u groupoffice | grep -i "SQL injection"• php:
Review GroupOffice application logs for SQL error messages or unusual database queries originating from the Contact/query endpoint.
• generic web:
Use curl to test the Contact/query endpoint with crafted SQL injection payloads. Monitor response headers for errors or unexpected data.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-33755 é atualizar o Group-Office para a versão 6.8.158 ou posterior. Essas versões incluem uma correção para a vulnerabilidade de injeção SQL. Recomendamos fortemente aplicar esta atualização imediatamente para proteger seu sistema contra possíveis ataques. Além disso, revise as políticas de segurança de sua organização, incluindo o gerenciamento de senhas e a autenticação de usuários, para garantir que estejam alinhadas com as melhores práticas de segurança. Monitore os logs do Group-Office em busca de atividades suspeitas e considere a implementação de um Sistema de Detecção de Intrusão (IDS) para identificar e responder a possíveis ataques em tempo real. A atualização é a medida mais eficaz para eliminar a vulnerabilidade.
Actualice Group-Office a las versiones 6.8.158, 25.0.92 o 26.0.17, o a una versión posterior, para corregir la vulnerabilidad de inyección SQL. Esto evitará la posible extracción de datos confidenciales y la toma de control de cuentas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Versões anteriores a 6.8.158, 25.0.92 e 26.0.17 são vulneráveis.
Verifique a versão do Group-Office na configuração do sistema. Se for anterior às versões mencionadas, atualize imediatamente.
Altere imediatamente as senhas de todos os usuários, revise os logs do sistema em busca de atividades suspeitas e considere realizar uma auditoria de segurança.
Atualmente, não existem ferramentas específicas disponíveis, mas recomendamos realizar testes de penetração e auditorias de segurança.
JMAP (JavaScript Object Manipulation API) é um protocolo para acessar e manipular dados em aplicativos de e-mail, calendário e contatos.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.