PT-2026-6304 · Unknown · Group-Office
Numberoreo1
·
Publicado
2026-02-04
·
Atualizado
2026-03-02
·
CVE-2026-25512
CVSS v4.0
9.4
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H |
Nome do Software Vulnerável e Versões Afetadas
Group-Office versões anteriores a 6.8.150
Group-Office versões anteriores a 25.0.82
Group-Office versões anteriores a 26.0.5
Descrição
O Group-Office é uma ferramenta de gestão de relacionamento com o cliente e groupware suscetível à execução remota de código (RCE). O endpoint
/email/message/tnefAttachmentFromTempFile incorpora diretamente o parâmetro tmp file, controlado pelo usuário, em uma chamada da função exec(). Um atacante autenticado pode injetar metacaracteres de shell no parâmetro tmp file, permitindo a execução de comandos de sistema arbitrários no servidor.Recomendações
Atualize o Group-Office para a versão 6.8.150 ou posterior.
Atualize o Group-Office para a versão 25.0.82 ou posterior.
Atualize o Group-Office para a versão 26.0.5 ou posterior.
Exploit
Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Group-Office