SQL Injection w SOGo (CVE-2026-8851) pozwala na wyciek danych

Luka w popularnym serwerze pocztowym SOGo otrzymała ocenę 8.6 w skali CVSS (Common Vulnerability Scoring System) 4.0 ¹. Identyfikator podatności to CVE-2026-8851 (Common Vulnerabilities and Exposures, identyfikator publicznie znanej luki). Problem dotyczy wszystkich wersji oprogramowania do numeru 5.12.7 włącznie ². Umożliwia uwierzytelnionemu użytkownikowi odczyt dowolnych danych z bazy, co stwarza wysokie ryzyko dla poufności i integralności informacji ^{3 4}.

Na ten moment nie ma informacji o aktywnym wykorzystaniu luki w atakach ⁵. Brak również oficjalnej poprawki od producenta ⁶. Administratorzy systemów SOGo powinni podjąć natychmiastowe działania mitygujące ryzyko.

TL;DR

• Produkt: SOGo, serwer pocztowy i groupware.
• Luka: CVE-2026-8851, SQL Injection (atak polegający na wstrzyknięciu złośliwego kodu SQL do zapytań bazodanowych), sklasyfikowany jako CWE-89 ⁷.
• Wektor: Uwierzytelniony użytkownik wysyła spreparowane zapytanie do punktu końcowego addUserInAcls ⁸.
• Skutek: Zdalna ekstrakcja dowolnych danych z bazy danych serwera ⁹.
• Dotyczy: Wersje SOGo 5.12.7 i wszystkie wcześniejsze ².
• Reagowanie (natychmiastowe): Ograniczenie dostępu do endpointu addUserInAcls ¹⁰. Monitorowanie logów API (Application Programming Interface) pod kątem nietypowych wartości w parametrze uid ¹¹.

Wektor ataku

Podatność to klasyczny przypadek SQL Injection. Znajduje się w module odpowiedzialnym za zarządzanie listami kontroli dostępu (ACL, Access Control List) ^{12 13}. Atakujący musi posiadać ważne, uwierzytelnione konto w docelowej instancji SOGo, aby móc wykorzystać tę lukę ⁹. Nie jest wymagana żadna dodatkowa interakcja ze strony innych użytkowników, a złożoność samego ataku oceniono jako niską ³.

Technicznie, atak polega na wstrzyknięciu złośliwego podzapytania SQL poprzez parametr uid w punkcie końcowym API addUserInAcls ^{8 14}. Aplikacja nieprawidłowo neutralizuje dane wejściowe od użytkownika, co pozwala na dołączenie do oryginalnego zapytania dodatkowych komend.

Mechanizm eksfiltracji danych jest dwuetapowy. Atakujący nie otrzymuje danych bezpośrednio w odpowiedzi na złośliwe zapytanie. Zamiast tego:

1. Wstrzykuje kod SQL, który powoduje zapisanie wykradzionych danych (np. treści e-maili, haseł użytkowników, kluczy) do tabeli sogo_acl w bazie danych ^{15 16}.
2. Następnie, używając standardowej i legalnej funkcji API, odczytuje zawartość tej tabeli poprzez punkt końcowy /acls ¹⁷.

Taka technika tworzy kanał eksfiltracji danych typu out-of-band, który może być trudniejszy do wykrycia przez proste systemy monitorujące ¹⁸.

Analiza wektora wskazuje na wysoki wpływ na poufność i integralność danych ³. Nie stwierdzono natomiast, aby luka umożliwiała eskalację uprawnień lub wpływała na dostępność usługi (np. poprzez atak typu DDoS) ¹⁹.

Wskaźniki kompromitacji

Na ten moment nie są znane publiczne wskaźniki kompromitacji (IoC, Indicators of Compromise) takie jak hashe plików czy adresy IP serwerów C2 (Command and Control). Atak nie wymaga instalacji dodatkowego oprogramowania na serwerze. Detekcja musi opierać się na analizie logów serwera aplikacyjnego i webowego.

Zespoły SOC (Security Operations Center) powinny skupić się na monitorowaniu zapytań HTTP POST kierowanych do API SOGo, w szczególności do punktu końcowego zawierającego ścieżkę .../acls/addUserInAcls.

Należy szukać nietypowych, długich lub zawierających znaki specjalne SQL wartości w parametrze uid. Każde użycie tego punktu końcowego przez użytkowników niebędących administratorami powinno być traktowane jako wysoce podejrzane i wymagać weryfikacji.

“

Co zrobić w 24-48h

Brak oficjalnej łatki od producenta SOGo oznacza, że wszystkie podatne instancje są narażone na atak ⁶. Konieczne jest podjęcie działań mitygujących.

1. Ograniczenie dostępu do podatnego endpointu. Rekomendowanym podejściem jest natychmiastowe zablokowanie lub ograniczenie dostępu do punktu końcowego addUserInAcls ¹⁰. Dostęp powinni mieć wyłącznie zaufani administratorzy. Można to zrealizować poprzez odpowiednie reguły na poziomie serwera proxy, load balancera lub WAF (Web Application Firewall).

2. Wdrożenie monitoringu. Należy wdrożyć dodatkowe monitorowanie lub filtrowanie na poziomie aplikacji w celu wykrywania anomalii w użyciu parametru uid ¹¹. Zespoły bezpieczeństwa w polskich firmach powinny sprawdzić możliwości swoich systemów SIEM (Security Information and Event Management) w tym zakresie i stworzyć odpowiednie reguły alertujące.

3. Śledzenie komunikatów producenta. Konieczne jest aktywne śledzenie oficjalnych kanałów komunikacji SOGo i wdrożenie łatki bezpieczeństwa, gdy tylko zostanie opublikowana ²⁰.

Dla polskich organizacji, zwłaszcza z sektora publicznego i edukacyjnego, gdzie SOGo bywa wykorzystywane, incydent wycieku danych z bazy pocztowej może podlegać obowiązkowi zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w ramach RODO (Rozporządzenie o Ochronie Danych Osobowych). Czas na zgłoszenie naruszenia ochrony danych osobowych to 72 godziny od jego wykrycia.

“

Źródła

Zobacz też

• CVE-2025-12465: Blind SQL Injection w systemie QuickCMS
• Luka SQL Injection w popularnej wtyczce WordPress Google Review Slider
• PostgreSQL: Luka SQL Injection (CVE-2026-6476) w wersjach 17 i 18

Footnotes

1. Luka ma bazowy wynik CVSS 4.0 wynoszący 8.6, co wskazuje na wysoką ważność. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩

2. SOGo w wersjach 5.12.7 i wcześniejszych zawiera lukę SQL injection. — https://nvd.nist.gov/vuln/detail/CVE-2026-8851 ↩ ↩²

3. Wektor ataku to sieć, złożoność ataku jest niska, nie wymaga interakcji użytkownika, a wpływ na poufność i integralność jest wysoki. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩ ↩² ↩³

4. Pomyślne wykorzystanie luki pozwala uwierzytelnionemu użytkownikowi na ekstrakcję dowolnych danych z bazy danych, naruszając poufność i integralność danych systemowych. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩

5. Obecnie nie ma zgłoszonych znanych exploitów w użyciu. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩

6. Status poprawki nie jest jeszcze potwierdzony, brak oficjalnych poprawek lub wskazówek dotyczących naprawy od dostawcy. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩ ↩²

7. SOGo Webmail w wersjach 5.12.7 i wcześniejszych zawiera lukę SQL injection (CWE-89). — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩

8. Atakujący mogą wstrzykiwać podzapytania SQL poprzez parametr ‘uid’ punktu końcowego ‘addUserInAcls’. — https://nvd.nist.gov/vuln/detail/CVE-2026-8851 ↩ ↩²

9. Uwierzytelnieni użytkownicy mogą wykorzystać tę lukę do ekstrakcji dowolnych danych z bazy danych. — https://nvd.nist.gov/vuln/detail/CVE-2026-8851 ↩ ↩²

10. Do czasu wydania oficjalnej poprawki, należy ograniczyć dostęp do punktu końcowego ‘addUserInAcls’ tylko do zaufanych użytkowników. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩ ↩²

11. Należy rozważyć dodatkowe filtrowanie na poziomie aplikacji lub monitorowanie w celu wykrycia nietypowego użycia parametru ‘uid’. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩ ↩²

12. Luka znajduje się w funkcjonalności zarządzania listami kontroli dostępu (Access Control List management). — https://nvd.nist.gov/vuln/detail/CVE-2026-8851 ↩

13. Luka SQL injection znajduje się w funkcji zarządzania listami kontroli dostępu (Access Control List management) SOGo Webmail. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩

14. Atakujący mogą wstrzykiwać złośliwy kod SQL poprzez parametr ‘uid’ punktu końcowego ‘addUserInAcls’. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩

15. Atakujący mogą wstrzykiwać złośliwy kod SQL, aby zapisać wyodrębnione dane do tabeli ‘sogo_acl’ i pobrać je za pośrednictwem API ‘/acls’, tworząc kanał eksfiltracji danych poza pasmem. — https://nvd.nist.gov/vuln/detail/CVE-2026-8851 ↩

16. Atakujący mogą wstrzykiwać złośliwy kod SQL, aby zapisać wyodrębnione dane do tabeli ‘sogo_acl’. — https://www.thehackerwire.com/vulnerability/CVE-2026-8851/ ↩

17. Wyodrębnione dane mogą być pobrane za pośrednictwem API ‘/acls’, co tworzy kanał eksfiltracji danych poza pasmem. — https://www.thehackerwire.com/vulnerability/CVE-2026-8851/ ↩

18. Atakujący może ustanowić kanał eksfiltracji danych poza pasmem za pośrednictwem tabeli ‘sogo_acl’ i API ‘/acls’. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩

19. Nie ma wskazań na eskalację uprawnień ani wpływ na dostępność. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩

20. Użytkownicy powinni monitorować komunikaty dostawcy w celu uzyskania aktualizacji i zastosować oficjalne poprawki po ich wydaniu. — https://radar.offseq.com/threat/cve-2026-8851-cwe-89-improper-neutralization-of-sp-847dd4ae ↩