国内No.1のグループウェアとの誉れ高い、サイボウズの大企業向けグループウェア、ガルーンに複数の脆弱性が報告されているとJVNが報じています。

——-以下引用

アプリケーションメニューの編集機能におけるサービス運用妨害 (DoS) (CWE-20) – CVE-2017-2254
・アプリ「スペース」の書式編集機能における格納型クロスサイトスクリプティング (CWE-79) – CVE-2017-2255
・アプリ「メモ」の書式編集機能における格納型クロスサイトスクリプティング (CWE-79) – CVE-2017-2256
・メール機能に関するクロスサイトスクリプティング (CWE-79) – CVE-2017-2257
・連携API WorkflowHandleApplications に関するディレクトリトラバーサル (CWE-22) – CVE-2017-2258

——-引用終わり

アプリ「スペース」は、プロジェクト管理用のツールで、ディスカッション、共有ToDo、ファイル共有を一括管理するもの。

アプリ「メモ」は、個人用のメモ機能です。

「ガルーン」の脆弱性一覧を見ていただいてわかるのですが、それなりに脆弱性が報告されています。

もちろん、多機能になればなるほど脆弱性は増えていくのですが、何十億円と開発にかけている商用グループウェアでさえ、このくらいの脆弱性が発見されるのですから、自社でwebベースのグループウェアを開発することが以下にリスクの大きい行為なのか、ということがわかります。

クラウドを使えば、セキュリティ対策もベンダーにおまかせでき、僅かな利用料を払えばよいのですから、これを利用しない手はありません。

コインチェックのように、webに接続されたシステムは、「安全だ」と開発者が信じていても、必ず何かしらの脆弱性があると言う前提を持って、運用すべきでしょう。