JVN#20573662
サイボウズ Office に複数の脆弱性

サイボウズ株式会社からサイボウズ Office 向けのアップデートが公開されました。

• サイボウズ Office 10.0.0 から 10.8.5 まで

サイボウズ株式会社が提供するサイボウズ Office には、次の複数の脆弱性が存在します。

• [CyVDB-839][CyVDB-2300][CyVDB-3109]ファイル管理に関する閲覧制限回避の脆弱性 (CWE-284) - CVE-2022-32283

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• [CyVDB-1795]プロジェクトに関する操作制限回避の脆弱性 (CWE-285) - CVE-2022-32544

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-1800][CyVDB-2798][CyVDB-2927]カスタムアプリに関する閲覧制限回避の脆弱性 (CWE-284) - CVE-2022-29891

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• [CyVDB-1849]特定のパラメータにおけるクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2022-33151

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-1851][CyVDB-1856][CyVDB-1873][CyVDB-1944][CyVDB-2173]特定のパラメータにおけるクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2022-28715

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-1859]特定のパラメータにおけるクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2022-30604

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-2030]HTTPヘッダインジェクションの脆弱性 (CWE-113) - CVE-2022-32453

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-2152][CyVDB-2153][CyVDB-2154][CyVDB-2155]システム設定に関する情報漏えいの脆弱性 (CWE-200) - CVE-2022-30693

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N	基本値: 5.3
  CVSS v2	AV:N/AC:L/Au:N/C:P/I:N/A:N	基本値: 5.0

• [CyVDB-2693]スケジュールに関する操作制限回避の脆弱性 (CWE-285) - CVE-2022-32583

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2695][CyVDB-2819]スケジュールに関する閲覧制限回避の脆弱性 (CWE-284) - CVE-2022-25986

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• [CyVDB-2770]アドレス帳に関する閲覧制限回避の脆弱性 (CWE-284) - CVE-2022-33311

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• [CyVDB-2939]特定のパラメータにおけるクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2022-29487

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• [CyVDB-839]、[CyVDB-2300]、[CyVDB-3109]:
  当該製品にログイン可能なユーザによって、ファイル管理に関するデータを窃取される
• [CyVDB-1795]:
  当該製品にログイン可能なユーザによって、プロジェクトに関するデータを改ざんされる
• [CyVDB-1800]、[CyVDB-2798]、[CyVDB-2927]:
  当該製品にログイン可能なユーザによって、カスタムアプリに関するデータを窃取される
• [CyVDB-1849]、[CyVDB-1851]、[CyVDB-1856]、[CyVDB-1859]、[CyVDB-1873]、[CyVDB-1944]、[CyVDB-2173]、[CyVDB-2939]:
  当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
• [CyVDB-2030]:
  遠隔の第三者によって、当該製品の情報を窃取されたり、改ざんされたりする
• [CyVDB-2152]、[CyVDB-2153]、[CyVDB-2154]、[CyVDB-2155]:
  遠隔の第三者によって、当該製品の情報を窃取される
• [CyVDB-2693]:
  当該製品にログイン可能なユーザによって、スケジュールに関するデータを改ざんされる
• [CyVDB-2695]、[CyVDB-2819]:
  当該製品にログイン可能なユーザによって、スケジュールに関するデータを窃取される
• [CyVDB-2770]:
  当該製品にログイン可能なユーザによって、アドレス帳に関するデータを窃取される

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。