サイボウズOfficeに複数の脆弱性

サイボウズ株式会社が提供する「サイボウズOffice」に複数の脆弱性が存在するとJVNは発表した。

 

脆弱性情報

①カスタムアプリに起因するサービス運用妨害 (DoS)の脆弱性

②メール機能に情報漏えいの脆弱性

③情報漏えいの脆弱性

④複数の機能にアクセス制限回避の脆弱性

⑤複数の機能にクロスサイトリクエストフォージェリ (CSRF)の脆弱性

⑥ネット連携機能にオープンリダイレクトの脆弱性

⑦複数機能にクロスサイトスクリプティング (XSS)の脆弱性

 

発見されたシステム・バージョン

①サイボウズ Office 9.0.0 から 10.3.0 まで

②サイボウズ Office 10.3.0

③サイボウズ Office 9.0.0 から 10.3 まで

④サイボウズ Office 9.0.0 から 10.3.0 まで

⑤サイボウズ Office 9.0.0 から 10.3.0 まで

⑥サイボウズ Office 10.2.0 から 10.3.0 まで

⑦サイボウズ Office 9.0.0 から 10.3.0 まで

想定される影響

①全ユーザが当該製品を使用できなくなる可能性があります。

②細工されたメールを開くことで、ユーザにのみアクセス可能な画像ファイルが第三者に取得される可能性があります。

③細工されたページにアクセスした場合、当該製品のクロスサイトリクエストフォージェリ (CSRF) 対策用のトークンが漏えいする可能性があります。結果として遠隔の第三者にさらなる攻撃を受ける可能性があります。

④グループウェアの情報を閲覧される、本来アクセス不可能な情報を取得されたり、特定機能を操作不可能にされる可能性があります。

⑤当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる可能性があります。

⑥細工された URL にアクセスすることで任意のWEBサイトにリダイレクトされる可能性があります。結果としてフィッシングの被害にあう可能性があります。

⑦WEBブラウザ上で任意のスクリプトを実行される可能性があります。

 

対応方法

上記の脆弱性全てにおいて開発者が提供する最新版へアップデートすることにより対策可能です。

 

 

サイボウズ株式会社の製品情報は「サイボウズからのお知らせ」にて公開しております。

そこにあるセキュリティ情報に各サービスにおける脆弱性情報が掲載されておりますので、ご覧くださいませ。

 

ご利用の方は一度バージョンをご確認の上、修正対応されることをお勧めします。

 

LINEで送る
Pocket

こんな記事も読まれています