JVN#52694228
サイボウズ リモートサービスにおける複数の脆弱性

サイボウズ株式会社からサイボウズ リモートサービス向けのアップデートが公開されました。

CVE-2021-20795、CVE-2021-20798、CVE-2021-20799、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804

• サイボウズ リモートサービス 3.1.8 から 3.1.9 まで

• サイボウズ リモートサービス 3.1.8

• サイボウズ リモートサービス 3.1.7 から 3.1.9 まで

• サイボウズ リモートサービス 3.0.0 から 3.1.9 まで

• サイボウズ リモートサービス 3.1.2

サイボウズ株式会社が提供するサイボウズ リモートサービスには、次の複数の脆弱性が存在します。

• [CyVDB-525]管理画面に関するクロスサイトリクエストフォージェリの脆弱性 (CWE-352) - CVE-2021-20795

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N	基本値: 6.5
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-1742]管理画面に関するパス・トラバーサルの脆弱性 (CWE-22) - CVE-2021-20796

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:L	基本値: 4.2
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:P	基本値: 4.9

• [CyVDB-1806][Mozilla Firefoxの現象]管理画面に関するクロスサイトスクリプトインクルージョンの脆弱性 (CWE-829) - CVE-2021-20797

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:H/Au:S/C:N/I:P/A:N	基本値: 2.1

• [CyVDB-1808]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20798

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-1809]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20799

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-1810]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20800

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-1811]XML外部実体参照の脆弱性 (CWE-611) - CVE-2021-20801

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• [CyVDB-1814]HTTPヘッダインジェクションの脆弱性 (CWE-113) - CVE-2021-20802

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-1820]管理画面に関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20803

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L	基本値: 5.4
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:P	基本値: 5.5

• [CyVDB-1830]サービス運用妨害 (DoS) の脆弱性 (CWE-400) - CVE-2021-20804

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H	基本値: 5.3
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:N/A:C	基本値: 6.3

• [CyVDB-1862]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20805

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-1968]オープンリダイレクトの脆弱性 (CWE-601) - CVE-2021-20806

  CVSS v3	CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:N/I:L/A:N	基本値: 3.4
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-2028]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20807

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-877]「利用端末データの読み込み」機能におけるパス・トラバーサルの脆弱性 (CWE-22) - CVE-2022-26838

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:N/A:P	基本値: 5.0

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• [CyVDB-525]:
  当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる
• [CyVDB-1742]:
  当該製品にログイン可能なユーザによって、任意のファイルをアップロードされる
• [CyVDB-1806]、[CyVDB-1811]:
  当該製品にログイン可能なユーザによって、当該製品に保存された情報を窃取される
• [CyVDB-1808]、[CyVDB-1809]、[CyVDB-1810]、[CyVDB-1862]、[CyVDB-2028]:
  当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
• [CyVDB-1814]:
  遠隔の第三者によって、当該製品の情報を改ざんされる
• [CyVDB-1820]:
  当該製品にログイン可能なユーザによって、管理画面に関するデータを改ざんされる
• [CyVDB-1830]、[CyVDB-877]:
  当該製品にログイン可能なユーザによって、サービス運用妨害 (DoS) 攻撃を受ける
• [CyVDB-1968]:
  細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。