JPCERT/CCはこのほど、サイボウズ製品に4件のセキュリティ脆弱性が確認されたとして、注意を呼びかけた。対象となる製品は、「サイボウズ Office」や「サイボウズ ガルーン」など複数の製品で、クロスサイトスクリプティング(XSS)やHTTPインジェクションなどを実行されたり、DoS攻撃を受ける可能性がある。
影響を受けるバージョンは、サイボウズ Office 6.6とそれ以前 、サイボウズ ガルーン 1.5、「サイボウズ ガルーン ワークフロー 1.0」とそれ以前、「サイボウズ ガルーン ファイル管理サーバー 1.0」とそれ以前、「サイボウズ ガルーン 掲示板サーバー 1.0」とそれ以前、「サイボウズ ガルーン 施設予約サーバー 1.0」とそれ以前、「サイボウズ ドットセールス 1.0」とそれ以前。
該当するバージョンでは、任意のスクリプトが埋めこめてしまうXSSの問題やHTTPヘッダインジェクションの問題、またサイボウズOfficeにはサービス拒否(DoS)攻撃を受ける問題が存在する。これらの問題によって、ユーザのウェブブラウザ上で任意のスクリプトを実行されたり、キャッシュサーバのキャッシュの上書き、任意のCookieの発行、サーバの運用妨害などの可能性がある。
サイボウズでは、これらの問題を解消した新版を公開しており、IPAおよびサイボウズでは最新版にアップデートするよう呼びかけている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
パナソニックのV2H蓄電システムで創る
エコなのに快適な未来の住宅環境
企業や自治体、教育機関で再び注目を集める
身近なメタバース活用を実現する
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
OMO戦略や小売DXの実現へ
顧客満足度を高めるデータ活用5つの打ち手