CVE-2025-48366

Nome do Software Vulnerável e Versões Afetadas Versões do Group-Office anteriores a 6.8.119 e 25.0.20

Descrição Existe uma vulnerabilidade de XSS armazenado e cego no campo de Número de Telefone do perfil do usuário na aplicação Group-Office. Isso permite que um ator malicioso injete payloads JavaScript persistentes, que são acionados no contexto de outro usuário quando este visualiza a Agenda de Endereços. A exploração bem-sucedida possibilita ações como redirecionamentos forçados, requisições fetch não autorizadas ou outra execução arbitrária de JavaScript sem interação do usuário.

Recomendações Para versões anteriores a 6.8.119, atualize para a versão 6.8.119 ou posterior. Para versões anteriores a 25.0.20, atualize para a versão 25.0.20 ou posterior.