LOW🇬🇧 English

CVE-2026-33550

CVSS 2.0v3.1pub. 2026-03-22upd. 2026-03-23

SOGo w wersjach przed 5.12.5 nie regeneruje OTP, gdy użytkownik je wyłącza lub włącza, a dodatkowo OTP ma zbyt krótką długość (tylko 12 cyfr zamiast rekomendowanych 20). To może umożliwić atakującemu przywrócenie dostępu do starych kodów jednorazowych.

Pokaż oryginał (EN)

SOGo before 5.12.5 does not renew the OTP if a user disables/enables it, and has a too short length (only 12 digits instead of the 20 recommended).

CVSS Vector
CVSS:3.1/AV:N/AC:H/PR:H/UI:R/S:U/C:N/I:L/A:N
  • Alinto Sogo

    APP
    Alinto
    < 5.12.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2015-5395HIGH8.8ten sam produkt

Cross-site request forgery (CSRF) vulnerability in SOGo before 3.1.0.

CVE-2025-71276MEDIUM6.4ten sam produkt

SOGo before 5.12.5 is prone to a XSS vulnerability with events, tasks, and contacts categories.

CVE-2025-63499MEDIUM6.1ten sam produkt

Alinto Sogo 5.12.3 is vulnerable to Cross Site Scripting (XSS) via the theme parameter.

CVE-2025-63498MEDIUM6.1ten sam produkt

alinto SOGo 5.12.3 is vulnerable to Cross Site Scripting (XSS) via the "userName" parameter.

CVE-2024-24510MEDIUM6.1ten sam produkt

Cross Site Scripting vulnerability in Alinto SOGo before 5.10.0 allows a remote attacker to execute arbitrary ...