CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45551

MediumCVSS 5.1
Published: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.23%

14th percentile - higher than 14% of all known CVEs

Summary

GroupOffice, narzędzie do zarządzania relacjami z klientami i grupowe, przed wersjami 26.0.25, 25.0.100 i 6.8.165, pozwala uwierzytelnionym użytkownikom na trwałe zapisanie dowolnych ustawień dla każdego identyfikatora użytkownika. W połączeniu z problemem w module e-mail, niskoprawni użytkownicy mogą nadpisać ustawienie czcionki e-mail administratora, co prowadzi do ataku XSS.

Risk Assessment

Atakujący z niskimi uprawnieniami może wykorzystać tę podatność do wstrzyknięcia złośliwego kodu JavaScript, co stwarza ryzyko przejęcia sesji administratora oraz kradzieży danych. To może prowadzić do poważnych konsekwencji dla bezpieczeństwa organizacji.

Recommendation

Zaleca się aktualizację GroupOffice do wersji 26.0.25, 25.0.100 lub 6.8.165, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt ustawień i uprawnień użytkowników w systemie.

Original NVD description (English source)

Group-Office is an enterprise customer relationship management and groupware tool. Prior to 26.0.25, 25.0.100, and 6.8.165, GroupOffice allows authenticated users to persist arbitrary legacy settings for any user_id via index.php?r=core/saveSetting. A separate client-side sink in the email module injects the email_font_size setting directly into JavaScript without escaping. By combining these two issues, any low-privileged authenticated user can overwrite an administrator's email_font_size setting with a JavaScript payload and trigger stored XSS in the administrator's browser when the GroupOffice web client loads views/Extjs3/modulescripts.php. This vulnerability is fixed in 26.0.25, 25.0.100, and 6.8.165.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS