Sogo
Уязвимости
17
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.02138
Распределение по критичности
Критический
0
Высокий
3
Средний
14
Низкий
0
Также сопоставлено как (исходные строки): sogo
Топ уязвимостей
CVE-2015-5395Уязвимость межсайтовой подделки запросов (CSRF) в SOGo до 3.1.0.
CVE-2025-53603В библиотеке sope-core/NGExtensions/NGHashMap.m версий SOPE до 5.12.2 существует уязвимость, приводящая к отказу в обслуживании (DoS) из-за разыменования NULL-указателя и последующего сбоя SOGo. Это происходит при дублировании параметра в строке запроса и теле POST-запроса. Проблема решается исправлением, поддерживающим указатель last в NGHashMap. Источники:
- [1] https://github.com/Alinto/sope/compare/SOGo-2.0.1...SOGo-2.0.2
- [2] https://www.openwall.com/lists/oss-security/2025/07/02/3
- [3] https://github.com/Alinto/sope/blob/3146fbdb6ff3314e37e5c3682deeeef7d0f32064/sope-core/NGExtensions/NGHashMap.m#L790
- [4] https://github.com/Alinto/sope/pull/69
CVE-2021-33054SOGo 2.x до версии 2.4.1 и 3.x до версии 5.x до версии 5.1.1 не проверяет подписи каких-либо получаемых утверждений SAML. Любой субъект с сетевым доступом к развертыванию может выдавать себя за пользователей, когда SAML является методом аутентификации. (Затронуты только версии после 2.0.5a).
CVE-2016-6188Утечка памяти в SOGo 2.3.7 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление памяти) через большое количество попыток загрузить большое вложение, связанное с временными файлами.
CVE-2025-63499Alinto Sogo 5.12.3 уязвим для сценариев кросс-сайта (XSS) через параметр темы.
CVE-2025-63498ainto SOGo 5.12.3 уязвим для сценариев пересечения сайта (XSS) через параметр «userName».
CVE-2024-34462Alinto SOGo до 5.10.0 допускает XSS во время предварительного просмотра вложений.
CVE-2024-24510Уязвимость Cross Site Scripting в Alinto SOGo до версии 5.10.0 позволяет удаленному злоумышленнику выполнить произвольный код через функцию import в компоненте mail.
CVE-2023-48104Alinto SOGo до версии 5.9.1 уязвим для внедрения HTML.
CVE-2022-4558В Alinto SOGo до версии 5.7.1 была обнаружена уязвимость. Она была классифицирована как проблематичная. Это затрагивает неизвестную часть файла SoObjects/SOGo/NSString+Utilities.m компонента Folder/Mail Handler. Манипуляция приводит к межсайтовому скриптингу. Можно инициировать атаку удаленно. Обновление до версии 5.8.0 позволяет решить эту проблему. Имя патча — 1e0f5f00890f751e84d67be4f139dd7f00faa5f3. Рекомендуется обновить затронутый компонент. Этой уязвимости был присвоен идентификатор VDB-215961.
CVE-2022-4556В Alinto SOGo до версии 5.7.1 была обнаружена уязвимость, классифицированная как проблематичная. Эта проблема затрагивает функцию _migrateMailIdentities файла SoObjects/SOGo/SOGoUserDefaults.m компонента Identity Handler. Манипуляция аргументом fullName приводит к межсайтовому скриптингу. Атака может быть начата удаленно. Обновление до версии 5.8.0 позволяет решить эту проблему. Имя патча — efac49ae91a4a325df9931e78e543f707a0f8e5e. Рекомендуется обновить затронутый компонент. Идентификатор этой уязвимости — VDB-215960.
CVE-2020-22402Межсайтовый скриптинг (XSS) в SOGo Web Mail до версии 4.3.1 позволяет злоумышленникам получать конфиденциальную информацию о пользователе, когда пользователь читает электронное письмо, содержащее вредоносный код.
CVE-2016-6191Множественные уязвимости межсайтового скриптинга (XSS) на странице View Raw Source в веб-календаре в SOGo до версии 3.1.3 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через поля (1) Description, (2) Location, (3) URL или (4) Title.
CVE-2014-9905Множественные уязвимости межсайтового скриптинга (XSS) в Web Calendar в SOGo до версии 2.2.0 позволяют удаленным злоумышленникам внедрять произвольный веб-скрипт или HTML через (1) заголовок встречи или (2) поля контактов.
CVE-2025-50340Уязвимость небезопасной прямой ссылки на объект (IDOR) была обнаружена в SOGo Webmail до версии 5.6.0, позволяющая аутентифицированному пользователю отправлять электронные письма от имени других пользователей путем манипулирования контролируемым пользователем идентификатором в запросе на отправку электронной почты. Сервер не проверяет, авторизован ли аутентифицированный пользователь на использование указанной идентификационной информации отправителя, что приводит к неавторизованной доставке сообщений от имени другого пользователя. Это может привести к имитации, фишингу или неавторизованной связи в системе [1]. Уязвимость была сообщена Milad Seddigh. Исправление включает реализацию строгих проверок авторизации на стороне сервера. Источники: - [1] https://github.com/millad7/SOGo_web_mail-vulnerability-CVE-2025-50340 - [2] https://www.sogo.nu/
CVE-2016-6190SOGo до версий 2.3.12 и 3.x до 3.1.1 не ограничивает доступ к атрибутам UID и DTSTAMP, что позволяет удаленным аутентифицированным пользователям получать конфиденциальную информацию о встречах с ограничением "View the Date & Time", как показано путем сопоставления UID и DTSTAMP между всеми пользователями.
CVE-2016-6189Неполный черный список в SOGo до версий 2.3.12 и 3.x до 3.1.1 позволяет удаленным аутентифицированным пользователям получать конфиденциальную информацию, читая поля в (1) ics или (2) XML календарях.