JPCERT/CCはこのほど、サイボウズ製品に4件のセキュリティ脆弱性が確認されたとして、注意を呼びかけた。対象となる製品は、「サイボウズ Office」や「サイボウズ ガルーン」など複数の製品で、クロスサイトスクリプティング(XSS)やHTTPインジェクションなどを実行されたり、DoS攻撃を受ける可能性がある。
影響を受けるバージョンは、サイボウズ Office 6.6とそれ以前 、サイボウズ ガルーン 1.5、「サイボウズ ガルーン ワークフロー 1.0」とそれ以前、「サイボウズ ガルーン ファイル管理サーバー 1.0」とそれ以前、「サイボウズ ガルーン 掲示板サーバー 1.0」とそれ以前、「サイボウズ ガルーン 施設予約サーバー 1.0」とそれ以前、「サイボウズ ドットセールス 1.0」とそれ以前。
該当するバージョンでは、任意のスクリプトが埋めこめてしまうXSSの問題やHTTPヘッダインジェクションの問題、またサイボウズOfficeにはサービス拒否(DoS)攻撃を受ける問題が存在する。これらの問題によって、ユーザのウェブブラウザ上で任意のスクリプトを実行されたり、キャッシュサーバのキャッシュの上書き、任意のCookieの発行、サーバの運用妨害などの可能性がある。
サイボウズでは、これらの問題を解消した新版を公開しており、IPAおよびサイボウズでは最新版にアップデートするよう呼びかけている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
「1→10」の事業化を支援する
イノベーション共創拠点の取り組みとは
日本のインターステラテクノロジズが挑む
「世界初」の衛星通信ビジネス
NTT Comのオープンイノベーション
「ExTorch」5年間の軌跡
先端分野に挑み続けるセックが語る
チャレンジする企業風土と人材のつくり方
すべての業務を革新する
NPUを搭載したレノボAIパソコンの実力
地味ながら負荷の高い議事録作成作業に衝撃
使って納得「自動議事録作成マシン」の実力