CVE-2026-46445SOGo在5.12.7之前的版本中存在严重的安全漏洞。当SOGo配置使用PostgreSQL作为后端数据库时,由于应用程序未能对特定用户输入进行严格的过滤和转义,导致存在SQL注入漏洞。攻击者可通过网络利用此漏洞,在仅需低权限账户认证的情况下执行任意SQL语句。成功利用该漏洞可能导致敏感数据库信息泄露、数据完整性遭到破坏以及服务可用性下降。鉴于CVSS评分高达7.1,建议管理员立即采取修复措施。
该漏洞的根源在于SOGo在构建数据库查询语句时,使用了不安全的字符串拼接方式,而非参数化查询。在使用PostgreSQL数据库的环境下,特定的API接口或功能模块未对用户可控的参数进行充分的边界检查。攻击者可以通过发送特制的HTTP请求,将恶意SQL代码注入到后端查询中。由于攻击复杂度被评估为高(AC:H),可能需要特定的条件才能触发。然而,一旦触发,由于无需用户交互(UI:N),攻击者可以自动化利用此漏洞。利用该漏洞可能导致数据库中的敏感信息(如用户凭证、邮件内容)被窃取(C:H),关键数据被篡改或删除(I:H),甚至可能导致数据库服务响应缓慢或崩溃(A:L)。