漏洞概述
Group-Office 是一款企业级客户关系管理与协同办公工具。在受影响版本中,应用程序将未经净化的文件名存储于数据库中,导致存在存储型跨站脚本(Stored XSS)漏洞。当用户在 Group-Office 应用内查看特制的恶意文件名时,可能触发该漏洞。尽管攻击范围局限于文件查看上下文,但仍可能被用于干扰用户会话或在浏览器中执行非预期操作。
漏洞详情
- CVE 编号:CVE-2026-23887
- 漏洞类型:存储型跨站脚本(Stored XSS),CWE-20(输入验证不恰当)、CWE-79(跨站脚本)
- CVSS 评分:5.1(MEDIUM,中危)
- 影响版本:Group-Office 6.8.148 及以下版本,以及 25.0.1 至 25.0.79 版本
影响范围
所有使用 Group-Office 6.8.148 及更低版本,或 25.0.1 至 25.0.79 版本的系统均受此漏洞影响。攻击者需具备低权限账户,并能上传或命名包含恶意脚本的文件。
风险分析
该漏洞允许攻击者通过上传含有恶意脚本的文件名,在其他用户浏览相关文件时执行任意 JavaScript 代码。虽然攻击依赖用户被动交互(如查看文件列表),但一旦触发,可能导致会话劫持、用户操作伪造或敏感信息泄露等后果,对应用完整性与用户安全构成威胁。
修复建议
- 升级至官方已修复版本:Group-Office 6.8.149 或 25.0.80 及以上版本。
- 若无法立即升级,建议对用户上传的文件名进行严格输入过滤与输出编码,防止 HTML/JavaScript 注入。
