IPA/「サイボウズ Office」に複数の脆弱性

2021年3月16日

省庁・団体名

独立行政法人情報処理推進機構

内容

■IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021 年 3 月 15 日に「『サイボウズ Office』に複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

■概要

・サイボウズ株式会社が提供する「サイボウズ Office」はグループウェアです。
・「サイボウズ Office」には、次の複数の脆弱性が存在します。
▽[CyVDB-1657]スケジュールに関する操作制限回避の脆弱性- CVE-2021-20624
▽[CyVDB-1727]掲示板に関する操作制限回避の脆弱性- CVE-2021-20625
▽[CyVDB-1895][CyVDB-2658]ワークフローに関する操作制限回避の脆弱性- CVE-2021-20626
▽[CyVDB-1899]アドレス帳に関するクロスサイト・スクリプティングの脆弱性- CVE-2021-20627
▽[CyVDB-1924][Mozilla Firefox の現象]アドレス帳に関するクロスサイト
・スクリプティングの脆弱性 - CVE-2021-20628
▽[CyVDB-2014]メールに関するクロスサイト・スクリプティングの脆弱性- CVE-2021-20629
▽[CyVDB-2018]電話メモに関する閲覧制限回避の脆弱性- CVE-2021-20630
▽[CyVDB-2063]カスタムアプリに関する不適切な入力確認の脆弱性- CVE-2021-20631
▽[CyVDB-2263]掲示板に関する閲覧制限回避の脆弱性- CVE-2021-20632
▽[CyVDB-2310]ファイル管理に関する閲覧制限回避の脆弱性- CVE-2021-20633
▽[CyVDB-2764]カスタムアプリに関する閲覧制限回避の脆弱性- CVE-2021-20634

・開発者が提供する情報をもとに、最新版へアップデートしてください。

◆この脆弱性情報は、2021 年 1 月 22 日に IPA が JPCERT/CC 経由で製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちらをご覧ください。
・「サイボウズ Office」に複数の脆弱性
URL：https://jvn.jp/jp/JVN45797538/index.html
※もしくは、https://jvn.jp/jp/から「JVN#45797538」を参照

本件に関するお問合せ先

IPA　セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail：vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。