平台
php
组件
groupoffice
修复版本
6.8.157
25.0.91
26.0.13
CVE-2026-34838是Group-Office中AbstractSettingsCollection模型的一个漏洞,允许经过身份验证的攻击者通过注入序列化的FileCookieJar对象到设置字符串中,实现任意文件写入,从而导致远程代码执行(RCE)。该漏洞影响版本低于26.0.12的Group-Office。此问题已在版本6.8.156、25.0.90和26.0.12中得到修复。
Group-Office 的 CVE-2023-34838 漏洞,一个企业客户关系管理 (CRM) 和协作工具,带来了远程代码执行 (RCE) 的严重风险。该漏洞存在于 AbstractSettingsCollection 模型中,其中设置的不安全反序列化可能被利用。经过身份验证的攻击者可以通过将序列化的 FileCookieJar 对象注入到设置字符串中,从而在服务器上任意写入文件。这可能导致系统完全被攻陷、敏感数据泄露或拒绝服务。受影响的版本是 6.8.156、25.0.90 和 26.0.12 之前的版本。CVSS 严重程度评分为 10.0,表明影响严重。
利用此漏洞需要攻击者在 Group-Office 系统中进行身份验证。攻击者必须能够修改或注入系统配置中的数据。序列化的 FileCookieJar 对象的注入是通过操纵设置字符串来执行的。一旦加载了受损的配置,FileCookieJar 对象就会被反序列化,从而允许攻击者在服务器上的任意位置写入文件。利用的成功取决于服务器配置和经过身份验证的用户的权限。
漏洞利用状态
EPSS
0.51% (66% 百分位)
CISA SSVC
最有效的解决方案是将 Group-Office 升级到版本 6.8.156、25.0.90 或 26.0.12。这些版本包含不安全反序列化漏洞的修复程序。如果无法立即升级,请实施临时缓解措施,例如限制对 Group-Office 配置的访问仅限于授权用户,并积极监控系统日志以查找可疑活动。审查安全策略,并确保用户遵循最佳实践,以防止恶意代码的引入。应用更新后,建议进行全面的安全审计。
Actualice Group-Office a las versiones 6.8.156, 25.0.90 o 26.0.12, o a una versión posterior. Esto corrige la vulnerabilidad de deserialización insegura en AbstractSettingsCollection que permite la ejecución remota de código.
漏洞分析和关键警报直接发送到您的邮箱。
反序列化漏洞发生在系统在没有适当验证的情况下将序列化数据转换为对象时,这使得攻击者能够注入恶意代码。
检查您使用的 Group-Office 版本。如果它早于 6.8.156、25.0.90 或 26.0.12,则容易受到攻击。
实施临时缓解措施,例如限制配置访问并监控系统日志。
目前没有专门用于检测此漏洞的工具,但建议定期进行安全审计。
您可以在 Group-Office 安全资源和 NIST NVD 等漏洞数据库中找到更多信息。
CVSS 向量