HIGHCVE-2026-33755CVSS 8.8

CVE-2026-33755 GroupOffice SQL 注入漏洞，已修复

Q: CVE-2026-33755 是什么 — groupoffice 中的 SQL Injection？

6.8.158、25.0.92 和 26.0.17 之前的版本容易受到攻击。

Q: groupoffice 中的 CVE-2026-33755 是否会影响我？

在系统配置中检查 Group-Office 的版本。如果版本早于提到的版本，请立即更新。

Q: 如何修复 groupoffice 中的 CVE-2026-33755？

立即更改所有用户的密码，检查系统日志以查找可疑活动，并考虑进行安全审计。

Q: CVE-2026-33755 是否正在被积极利用？

目前没有特定的工具可用，但我们建议进行渗透测试和安全审计。

Q: 在哪里可以找到 groupoffice 关于 CVE-2026-33755 的官方安全通告？

JMAP (JavaScript Object Manipulation API) 是一种用于访问和操作电子邮件、日历和联系人应用程序中数据的协议。

平台

php

组件

groupoffice

修复版本

6.8.159

25.0.93

26.0.18

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-33755 描述了 GroupOffice 中的一个 SQL 注入漏洞，该漏洞允许经过身份验证的用户提取任意数据，包括其他用户的会话令牌。受影响的版本 < 26.0.17。该问题已在 6.8.158, 25.0.92, 和 26.0.17 版本中得到修复，建议用户尽快升级。

影响与攻击场景

CVE-2026-33755 影响企业客户关系管理 (CRM) 和协作工具 Group-Office。该漏洞是 JMAP Contact/query 端点处的经过身份验证的 SQL 注入，允许具有基本地址簿访问权限的经过身份验证用户从数据库中提取任意数据。这包括其他用户的有效会话令牌，从而可以在不知道其密码的情况下完全接管任何用户帐户，包括系统管理员帐户。此漏洞的严重程度很高 (CVSS 8.8)，因为存在未经授权访问敏感信息和完全控制用户帐户的风险。为了减轻此风险，必须升级到 6.8.158 或更高版本。成功利用可能导致机密数据泄露、关键信息篡改以及业务运营中断。

利用背景

该漏洞通过 JMAP Contact/query 端点进行利用。具有基本地址簿访问权限的经过身份验证的攻击者可以操作 SQL 查询以从数据库中提取数据。SQL 注入允许攻击者执行任意 SQL 命令，从而使他们能够访问敏感信息，例如会话令牌。能够获取有效的会话令牌允许攻击者冒充其他用户，包括系统管理员，而无需知道其密码。身份验证是先决条件，但一旦用户进行身份验证，攻击者就可以利用此漏洞获得未经授权的访问权限。利用的复杂性相对较低，从而增加了不同技能水平的攻击者利用此漏洞的风险。

哪些人处于风险中翻译中…

Organizations utilizing GroupOffice for customer relationship management and groupware, particularly those with multiple users and System Administrator accounts, are at significant risk. Shared hosting environments where multiple GroupOffice instances share the same database are especially vulnerable, as a compromise in one instance could potentially expose data from others.

检测步骤翻译中…

• linux / server:

journalctl -u groupoffice | grep -i "SQL injection"

• php: Review GroupOffice application logs for SQL error messages or unusual database queries originating from the Contact/query endpoint. • generic web: Use curl to test the Contact/query endpoint with crafted SQL injection payloads. Monitor response headers for errors or unexpected data.

攻击时间线

2026-03-27Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (10% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件groupoffice

供应商Intermesh

影响范围修复版本

< 6.8.158 – < 6.8.1586.8.159

< 25.0.92 – < 25.0.9225.0.93

< 26.0.17 – < 26.0.1726.0.18

弱点分类 (CWE)

CWE-89

时间线

已保留2026-03-23
发布日期2026-03-27
EPSS 更新日期2026-04-04

缓解措施和替代方案

CVE-2026-33755 的解决方案是将 Group-Office 升级到 6.8.158 或更高版本。这些版本包含针对 SQL 注入漏洞的修复程序。我们强烈建议立即应用此更新以保护您的系统免受潜在攻击。此外，请审查您组织的安全性策略，包括密码管理和用户身份验证，以确保它们符合安全最佳实践。监控 Group-Office 日志以查找可疑活动，并考虑实施入侵检测系统 (IDS)，以便实时识别和响应潜在攻击。升级是消除漏洞的最有效措施。

修复方法

将 Group-Office 更新到 6.8.158、25.0.92 或 26.0.17 版本，或更高版本，以修复 SQL 注入漏洞。这将防止潜在的敏感数据提取和帐户接管。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33755 是什么 — groupoffice 中的 SQL Injection？