IPA/『サイボウズ Garoon』に複数の脆弱性

2021年8月4日

省庁・団体名

独立行政法人情報処理推進機構

内容

 IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021年8月2日に「『サイボウズ Garoon』に複数の脆弱性」を、JVN(Japan Vulnerability Notes)において公表しました。

◆概要
・サイボウズ株式会社が提供する「サイボウズ Garoon」は、グループウェアです。

・「サイボウズ Garoon」には、次の複数の脆弱性が存在します。
▽ [CyVDB-1782]スケジュールに関するクロスサイト・スクリプティングの脆弱性 - CVE-2021-20753
▽ [CyVDB-2029]ワークフローに関する不適切な入力確認の脆弱性- CVE-2021-20754
▽ [CyVDB-2071]ポータルに関する閲覧制限回避の脆弱性- CVE-2021-20755
▽ [CyVDB-2085]アドレス帳に関する閲覧制限回避の脆弱性- CVE-2021-20756
▽ [CyVDB-2092]メールに関する操作制限回避の脆弱性- CVE-2021-20757
▽ [CyVDB-2099]メッセージに関するクロスサイト・リクエスト・フォージェリの脆弱性 - CVE-2021-20758
▽ [CyVDB-2103]掲示板に関する操作制限回避の脆弱性- CVE-2021-20759
▽ [CyVDB-2234]ユーザー情報に関する不適切な入力確認の脆弱性- CVE-2021-20760
▽ [CyVDB-2245][CyVDB-2374]メールに関する不適切な入力確認の脆弱性- CVE-2021-20761
▽ [CyVDB-2283]メールに関する不適切な入力確認の脆弱性- CVE-2021-20762
▽ [CyVDB-2368]ポータルに関する操作制限回避の脆弱性- CVE-2021-20763
▽ [CyVDB-2388]ファイル添付に関する不適切な入力確認の脆弱性- CVE-2021-20764
▽ [CyVDB-2406]掲示板に関するクロスサイト・スクリプティングの脆弱性 - CVE-2021-20765
▽ [CyVDB-2407]メッセージに関するクロスサイト・スクリプティングの脆弱性 - CVE-2021-20766
▽ [CyVDB-2446]全文検索に関するクロスサイト・スクリプティングの脆弱性 - CVE-2021-20767
▽ [CyVDB-2448]スケジュールとマルチレポートに関する操作制限回避の脆弱性 - CVE-2021-20768
▽ [CyVDB-2568]掲示板に関するクロスサイト・スクリプティングの脆弱性- CVE-2021-20769
▽ [CyVDB-2659]メッセージに関するクロスサイト・スクリプティングの脆弱性 - CVE-2021-20770
▽ [CyVDB-2193]グループメールの一部機能に関するクロスサイト・スクリプティングの脆弱性 - CVE-2021-20771
▽ [CyVDB-2479]掲示板に関する掲示タイトル漏洩の脆弱性- CVE-2021-20772
▽ [CyVDB-2755]意図せずワークフローの経路情報が削除される脆弱性- CVE-2021-20773
▽ [CyVDB-2766]メールの一部機能に関するクロスサイト・スクリプティングの脆弱性 - CVE-2021-20774
▽ [CyVDB-2903]コメントの宛先に関する情報漏洩の脆弱性- CVE-2021-20775

・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
▽ [CyVDB-1782]、[CyVDB-2193]、[CyVDB-2406]、[CyVDB-2407]、[CyVDB-2446]、[CyVDB-2568]、[CyVDB-2659]、[CyVDB-2766]:当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
▽ [CyVDB-2029]:当該製品にログイン可能なユーザによって、本来操作権限のないワークフローに関するデータを改ざんされる
▽ [CyVDB-2071]:当該製品にログイン可能なユーザによって、本来閲覧権限のないポータルに関するデータを窃取される
▽ [CyVDB-2085]:当該製品にログイン可能なユーザによって、本来閲覧権限のないアドレス帳に関するデータを窃取される
▽ [CyVDB-2092]、[CyVDB-2283]:当該製品にログイン可能なユーザによって、本来操作権限のないメールに関するデータを改ざんされる
▽ [CyVDB-2099]:当該製品に管理者権限でログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる
▽ [CyVDB-2103]:当該製品にログイン可能なユーザによって、本来操作権限のない掲示板に関するデータを改ざんされる
▽ [CyVDB-2234]:当該製品にログイン可能なユーザによって、本来操作権限のないユーザー情報に関するデータを改ざんされる
▽ [CyVDB-2245]、[CyVDB-2374]:当該製品に管理者権限でログイン可能なユーザによって、本来操作権限のないメールに関するデータを改ざんされる
▽ [CyVDB-2368]:当該製品にログイン可能なユーザによって、本来操作権限のないポータルに関するデータを改ざんされる
▽ [CyVDB-2388]:遠隔の第三者によって、ファイル添付に関するデータを窃取される
▽ [CyVDB-2448]:当該製品にログイン可能なユーザによって、本来操作権限のないスケジュールおよびマルチレポートに関するデータを削除される
▽ [CyVDB-2479]:当該製品にログイン可能なユーザによって、本来閲覧権限のない掲示板のタイトル情報を窃取される
▽ [CyVDB-2755]:当該製品にログイン可能なユーザによって、ワークフローの経路情報が削除される
▽ [CyVDB-2903]:当該製品にログイン可能なユーザによって、スペースとメッセージにおけるコメントの宛先情報を窃取される

・開発者が提供する情報をもとに、最新版へアップデートしてください。
◆この脆弱性情報は、2021年6月25日に IPA が JPCERT/CC 経由で製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちら をご覧ください。
※もしくは、https://jvn.jp/jp/ から「JVN#54794245」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail:vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail:vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。

PAGE TOP