CVE-2026-45551
MediumCVSS 5.1Exploitation Probability (EPSS)
Low risk14th percentile - higher than 14% of all known CVEs
Summary
GroupOffice, narzędzie do zarządzania relacjami z klientami i grupowe, przed wersjami 26.0.25, 25.0.100 i 6.8.165, pozwala uwierzytelnionym użytkownikom na trwałe zapisanie dowolnych ustawień dla każdego identyfikatora użytkownika. W połączeniu z problemem w module e-mail, niskoprawni użytkownicy mogą nadpisać ustawienie czcionki e-mail administratora, co prowadzi do ataku XSS.
Risk Assessment
Atakujący z niskimi uprawnieniami może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu JavaScript, co stwarza ryzyko przejęcia sesji administratora oraz kradzieży danych. To może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.
Recommendation
Zaleca się aktualizację GroupOffice do wersji 26.0.25, 25.0.100 lub 6.8.165, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt ustawień i uprawnień użytkowników w systemie.
Original NVD description (English source)
Group-Office is an enterprise customer relationship management and groupware tool. Prior to 26.0.25, 25.0.100, and 6.8.165, GroupOffice allows authenticated users to persist arbitrary legacy settings for any user_id via index.php?r=core/saveSetting. A separate client-side sink in the email module injects the email_font_size setting directly into JavaScript without escaping. By combining these two issues, any low-privileged authenticated user can overwrite an administrator's email_font_size setting with a JavaScript payload and trigger stored XSS in the administrator's browser when the GroupOffice web client loads views/Extjs3/modulescripts.php. This vulnerability is fixed in 26.0.25, 25.0.100, and 6.8.165.

