サイボウズの製品に複数の脆弱性が
JVN(Japan Vulnerability Notes) は27日、
「サイボウズ株式会社が提供する複数の製品に脆弱性が存在する」
と発表しました
1.クロスサイトリクエストフォージェリの脆弱性
クロスサイトリクエストフォージェリの脆弱性が存在
対象となる製品とバージョン
・サイボウズ Office 6
・サイボウズ デヂエ 6.0(1.0) より前
・サイボウズ ガルーン 2.0.0 から 2.1.3 まで
当該製品にログインした状態で、悪意あるページを読み込んだ場合、スケジュールや設定を
変更される可能性あり
2. サイボウズガルーンにおけるセッション固定の脆弱性
セッション固定の脆弱性が存在
対象となる製品とバージョン
・サイボウズガルーン 2.0.0 から 2.1.3 まで
遠隔の第三者によるなりすましが行われることで、ログインしているユーザの権限で
任意の操作を行われる可能性あり
結果として情報漏えいや改ざんなどが発生する可能性
3.サイボウズガルーンにおいて任意のスクリプトが実行される脆弱性
RSS フィードにより任意のスクリプトが実行される脆弱性が存在
対象となる製品とバージョン
・サイボウズガルーン 2.0.0 から 2.1.3 まで
ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性あり
以上、3つの脆弱性が同時に報告されました
すでにベンダにより脆弱性を修正した最新版が公開されていますので、アップデート
するようにしてください
------------------------------------------------------------------------
報道ページ:
JVN#18405927 複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性
JVN#18700809 サイボウズガルーンにおけるセッション固定の脆弱性
JVN#52363223 サイボウズガルーンにおいて任意のスクリプトが実行される脆弱性