サイボウズ Garoon に複数の脆弱性 | ScanNetSecurity
2024.03.19(火)

サイボウズ Garoon に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月16日、サイボウズ Garoon における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月16日、サイボウズ Garoon における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Masato Kinugawa 氏、東内 裕二 氏が報告を行っている。影響を受けるシステムは以下の通り。

・サイボウズ Garoon 4.0.0 から 5.5.1 まで
[CyVDB-1584]、[CyVDB-1865]、[CyVDB-2670]、[CyVDB-2660]、[CyVDB-2689]、[CyVDB-2692]、[CyVDB-2718]、[CyVDB-2839]、[CyVDB-2841]、[CyVDB-2897]、[CyVDB-2906]

・サイボウズ Garoon 4.10.0 から 5.5.1 まで
[CyVDB-2667]、[CyVDB-2940]

・サイボウズ Garoon 4.6.0 から 5.9.0 まで
[CyVDB-2685]

・サイボウズ Garoon 4.10.2 から 5.5.1 まで
[CyVDB-2889]

・サイボウズ Garoon 4.2.0 から 5.5.1 まで
[CyVDB-2932]

・サイボウズ Garoon 4.0.0 から 5.9.0 まで
[CyVDB-3001]

 サイボウズ株式会社が提供するサイボウズ Garoon に存在する複数の脆弱性とその影響は下記の通り。

・[CyVDB-1584][CyVDB-2670]
 掲示板に関する操作制限回避の脆弱性(CVE-2022-28718)
→ログイン可能なユーザによって、掲示板に関するデータを改ざんされる

・[CyVDB-1865][CyVDB-2692]
ワークフローに関する操作制限回避の脆弱性(CVE-2022-27661)
→ログイン可能なユーザによって、ワークフローに関するデータを改ざんされる

・[CyVDB-2660]
スペースに関する不適切な入力確認の脆弱性(CVE-2022-29892)
→ログイン可能なユーザによって、一部の機能に繰り返しエラーが表示させられ、サービス運用妨害 (DoS) 攻撃を受ける

・[CyVDB-2667]
スケジュールに関するクロスサイトスクリプティングの脆弱性(CVE-2022-29513)
→当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される

・[CyVDB-2685]
掲示板に関する閲覧制限回避の脆弱性(CVE-2022-29471)
→ログイン可能なユーザによって、掲示板に関するデータを窃取される

・[CyVDB-2689]
ポータルに関する操作制限回避の脆弱性(CVE-2022-26051)
→ログイン可能なユーザによって、ポータルに関するデータを改ざんされる

・[CyVDB-2718]
スケジュールに関する不適切な入力確認の脆弱性(CVE-2022-28692)
→管理者権限でログイン可能なユーザによって、スケジュールに関するデータを改ざんされる

・[CyVDB-2839]
スペースに関する不適切な入力確認の脆弱性(CVE-2022-27803)
→ログイン可能なユーザによって、スペースに関するデータを改ざんされる

・[CyVDB-2841]
ファイル管理に関する閲覧および操作制限回避の脆弱性(CVE-2022-26368)
→ログイン可能なユーザによって、ファイル管理に関するデータを窃取されたり、改ざんされたりする

・[CyVDB-2889]
組織情報に関するクロスサイトスクリプティングの脆弱性(CVE-2022-27627)
→当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される

・[CyVDB-2897]
リンク集に関する操作制限回避の脆弱性(CVE-2022-26054)
→ログイン可能なユーザによって、リンク集に関するデータを改ざんされる

・[CyVDB-2906]
リンク集に関する不適切な入力確認の脆弱性(CVE-2022-27807)
→ログイン可能なユーザによって、カテゴリーの追加をできなくされる

・[CyVDB-2932]
アドレス帳に関する情報漏えいの脆弱性(CVE-2022-29467)
→ログイン可能なユーザによって、アドレス帳の一部のデータを窃取される

・[CyVDB-2940]
スケジュールに関する不適切な認証の脆弱性(CVE-2022-28713)
→ログイン無しで、施設情報の一部のデータを窃取される

・[CyVDB-3001]
スペースに関する操作制限回避の脆弱性(CVE-2022-29484)
→ログイン可能なユーザによって、スペースに関するデータを削除される

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×