IPA/「サイボウズ リモートサービス」における複数の脆弱性】

2021年10月4日

省庁・団体名

独立行政法人情報処理推進機構

内容

　IPA(独立行政法人情報処理推進機構)セキュリティセンターおよびJPCERT/CC(一般社団法人JPCERTコーディネーションセンター)は、2021 年 9 月 30 日に『サイボウズ リモートサービス』における複数の脆弱性」を、JVN(Japan VulnerabilityNotes)において公表しました。

◆概要
・サイボウズ株式会社が提供する「サイボウズ リモートサービス」はグループウェアです。

・「サイボウズ リモートサービス」には、次の複数の脆弱性が存在します。
▽[CyVDB-525]管理画面に関するクロスサイト・リクエスト・フォージェリの脆弱性 - CVE-2021-20795
▽[CyVDB-1742]管理画面に関するパス・トラバーサルの脆弱性- CVE-2021-20796
▽[CyVDB-1806][Mozilla Firefox の現象]管理画面に関するクロスサイト・スクリプト・インクルージョンの脆弱性 - CVE-2021-20797
▽[CyVDB-1808]管理画面に関するクロスサイト・スクリプティングの脆弱性- CVE-2021-20798
▽[CyVDB-1809]管理画面に関するクロスサイト・スクリプティングの脆弱性- CVE-2021-20799
▽[CyVDB-1810]管理画面に関するクロスサイト・スクリプティングの脆弱性- CVE-2021-20800
▽[CyVDB-1811]XML 外部実体参照の脆弱性 - CVE-2021-20801
▽[CyVDB-1814]HTTP ヘッダ・インジェクションの脆弱性 - CVE-2021-20802
▽[CyVDB-1820]管理画面に関する操作制限回避の脆弱性 - CVE-2021-20803
▽[CyVDB-1830]サービス運用妨害 (DoS) の脆弱性 - CVE-2021-20804
▽[CyVDB-1862]管理画面に関するクロスサイト・スクリプティングの脆弱性- CVE-2021-20805
▽[CyVDB-1968]オープンリダイレクトの脆弱性 - CVE-2021-20806
▽[CyVDB-2028]管理画面に関するクロスサイト・スクリプティングの脆弱性- CVE-2021-20807

・想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
▽[CyVDB-525]:
　当該製品に管理者権限でログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる
▽[CyVDB-1742]:
　当該製品にログイン可能なユーザによって、任意のファイルをアップロードされる
▽[CyVDB-1806]、[CyVDB-1811]:
　当該製品にログイン可能なユーザによって、当該製品に保存された情報を窃取される
▽[CyVDB-1808]、[CyVDB-1809]、[CyVDB-1810]、[CyVDB-1862]、[CyVDB-2028]:
　当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
▽[CyVDB-1814]:
　遠隔の第三者によって、当該製品の情報を改ざんされる
▽[CyVDB-1820]:
　当該製品にログイン可能なユーザによって、管理画面に関するデータを改ざんされる
▽[CyVDB-1830]:
　当該製品にログイン可能なユーザによって、サービス運用妨害 (DoS) 攻撃を受ける
▽[CyVDB-1968]:
　細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる

・開発者が提供する情報をもとに、最新版にアップデートしてください。

◆この脆弱性情報は、2021 年 8 月 24 日に IPA が JPCERT/CC 経由で製品開発者自身から届出を受け、JPCERT/CC が、製品開発者と調整を行ない、本日公表したものです。

◆詳細については、こちら をご覧ください。
※もしくは、https://jvn.jp/jp/ から「JVN#52694228」を参照

本件に関するお問合せ先

IPA セキュリティセンター
E-mail：vuln-inq@ipa.go.jp

一般社団法人JPCERTコーディネーションセンター
E-mail：vultures@jpcert.or.jp

※個別製品の脆弱性情報の詳細につきましては、製品開発者にお問い合わせください。