IPA/「サイボウズ Garoon」における複数の脆弱性について

2020年4月28日

省庁・団体名

独立行政法人情報処理推進機構

内容

IPA(独立行政法人情報処理推進機構)セキュリティセンターおよび JPCERT/CC (一般社団法人JPCERTコーディネーションセンター)は、2020年4月27日に「『サイボウズ Garoon』における複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要

• サイボウズ株式会社が提供する「サイボウズ Garoon」は、グループウェアです。
• 「サイボウズ Garoon」には、次の複数の脆弱性が存在します。
  ▽ フィールドを指定する API における認証不備 - CVE-2020-5563
  ▽ アプリケーション「メール」におけるクロスサイト・スクリプティン - CVE-2020-5564
  ▽ アプリケーション「ワークフロー」および「マルチレポート」における入力値検証不備 - CVE-2020-5565
  ▽ アプリケーション「メール」および「メッセージ」における不適切な認可処理 - CVE-2020-5566
  ▽ アプリケーションメニューにおける認証不備 - CVE-2020-5567
  ▽ アプリケーション「メッセージ」および「掲示板」におけるクロスサイト・スクリプティング - CVE-2020-5568
• 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
  ▽ 当該製品が提供する API にアクセスできる遠隔の第三者によって、当該製品のデータを取得される - CVE-2020-5563
  ▽ 当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2020-5564, CVE-2020-5568
  ▽ 当該製品のユーザによって、当該アプリケーションのデータを改ざんされる - CVE-2020-5565, CVE-2020-5566
  ▽ 遠隔の第三者によって、アプリケーションメニューのデータを取得される - CVE-2020-5567
• 開発者が提供する情報をもとに最新版へアップデートしてください。

◆この脆弱性情報は、2020年4月13日にIPAがJPCERT/CC経由で製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。
　「サイボウズ Garoon」における複数の脆弱性
　https://jvn.jp/jp/JVN35649781/index.html
　　※もしくは、https://jvn.jp/jp/ から「JVN#35649781」を参照

本件に関するお問合せ先

IPA　セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。