サイボウズの製品に複数の脆弱性が!?


 JVN(Japan Vulnerability Notes) は27日、


  「サイボウズ株式会社が提供する複数の製品に脆弱性が存在する」


と発表しました!!


 1.クロスサイトリクエストフォージェリの脆弱性


  クロスサイトリクエストフォージェリの脆弱性が存在

 

   対象となる製品とバージョン


   ・サイボウズ Office 6

   ・サイボウズ デヂエ 6.0(1.0) より前

   ・サイボウズ ガルーン 2.0.0 から 2.1.3 まで


  当該製品にログインした状態で、悪意あるページを読み込んだ場合、スケジュールや設定を

  変更される可能性あり


 2. サイボウズガルーンにおけるセッション固定の脆弱性


  セッション固定の脆弱性が存在


   対象となる製品とバージョン


   ・サイボウズガルーン 2.0.0 から 2.1.3 まで


  遠隔の第三者によるなりすましが行われることで、ログインしているユーザの権限で

  任意の操作を行われる可能性あり

  結果として情報漏えいや改ざんなどが発生する可能性


 3.サイボウズガルーンにおいて任意のスクリプトが実行される脆弱性


  RSS フィードにより任意のスクリプトが実行される脆弱性が存在


   対象となる製品とバージョン 


   ・サイボウズガルーン 2.0.0 から 2.1.3 まで


  ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性あり


 以上、3つの脆弱性が同時に報告されましたあせる


 すでにベンダにより脆弱性を修正した最新版が公開されていますので、アップデート


するようにしてくださいアップ


------------------------------------------------------------------------
報道ページ:

JVN#18405927 複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性

JVN#18700809 サイボウズガルーンにおけるセッション固定の脆弱性

JVN#52363223 サイボウズガルーンにおいて任意のスクリプトが実行される脆弱性


ダウンクリックお願いします音譜音譜
にほんブログ村 IT技術ブログ セキュリティ・暗号化へ