PT-2026-29881 · Unknown · Group-Office
Aarjubh
·
Publicado
2026-04-02
·
Atualizado
2026-04-06
·
CVE-2026-34838
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Group-Office versões anteriores a 6.8.156, anteriores a 25.0.90 e anteriores a 26.0.12
Descrição
Group-Office é uma ferramenta de gerenciamento de relacionamento com o cliente e grupo de trabalho para empresas. Uma falha no modelo AbstractSettingsCollection permite a desserialização insegura ao carregar as configurações. Um invasor autenticado pode injetar um objeto FileCookieJar serializado em uma string de configuração, levando à Gravação Arbitrária de Arquivos e, finalmente, à Execução Remota de Código (RCE) no servidor. A vulnerabilidade é acionada pela desserialização de um objeto FileCookieJar. O modelo
AbstractSettingsCollection é o componente afetado.Recomendações
Atualize para a versão 6.8.156 ou posterior.
Atualize para a versão 25.0.90 ou posterior.
Atualize para a versão 26.0.12 ou posterior.
Correção
RCE
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Group-Office