JVN#54794245
サイボウズ Garoon に複数の脆弱性

サイボウズ株式会社からサイボウズ Garoon 向けのアップデートが公開されました。

[CyVDB-1782]、[CyVDB-2029]、[CyVDB-2071]、[CyVDB-2085]、[CyVDB-2092]、[CyVDB-2099]、[CyVDB-2234]、[CyVDB-2245]、[CyVDB-2283]、[CyVDB-2368]、[CyVDB-2374]、[CyVDB-2388]、[CyVDB-2406]、[CyVDB-2407]、[CyVDB-2446]、[CyVDB-2448]

• サイボウズ Garoon 4.0.0 から 5.0.2 まで

• サイボウズ Garoon 4.6.0 から 5.0.2 まで

• サイボウズ Garoon 4.0.0 から 5.5.0 まで

• サイボウズ Garoon 4.10.0 から 5.5.0 まで

サイボウズ株式会社が提供するサイボウズ Garoon には、次の複数の脆弱性が存在します。

• [CyVDB-1782]スケジュールに関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20753

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-2029]ワークフローに関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2021-20754

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2071]ポータルに関する閲覧制限回避の脆弱性 (CWE-264) - CVE-2021-20755

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• [CyVDB-2085]アドレス帳に関する閲覧制限回避の脆弱性 (CWE-264) - CVE-2021-20756

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• [CyVDB-2092]メールに関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20757

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2099]メッセージに関するクロスサイトリクエストフォージェリの脆弱性 (CWE-352) - CVE-2021-20758

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-2103]掲示板に関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20759

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2234]ユーザー情報に関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2021-20760

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2245][CyVDB-2374]メールに関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2021-20761

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:N/I:L/A:N	基本値: 4.1
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2283]メールに関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2021-20762

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N	基本値: 5.0
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2368]ポータルに関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20763

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2388]ファイル添付に関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2021-20764

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:H/Au:N/C:P/I:N/A:N	基本値: 2.6

• [CyVDB-2406]掲示板に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20765

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-2407]メッセージに関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20766

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-2446]全文検索に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20767

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-2448]スケジュールとマルチレポートに関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20768

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:N	基本値: 4.0

• [CyVDB-2568]掲示板に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20769

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-2659]メッセージに関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20770

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-2193]メールの一部機能に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20771

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• [CyVDB-2479]掲示板に関する掲示タイトル漏洩の脆弱性 (CWE-264) - CVE-2021-20772

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• [CyVDB-2755]意図せずワークフローの経路情報が削除される脆弱性 - CVE-2021-20773

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L	基本値: 5.4
  CVSS v2	AV:N/AC:L/Au:S/C:N/I:P/A:P	基本値: 5.5

• [CyVDB-2766]メールの一部機能に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20774

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• [CyVDB-2903]コメントの宛先に関する情報漏洩の脆弱性 (CWE-20) - CVE-2021-20775

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• [CyVDB-1782]、[CyVDB-2193]、[CyVDB-2406]、[CyVDB-2407]、[CyVDB-2446]、[CyVDB-2568]、[CyVDB-2659]、[CyVDB-2766]:
  当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
• [CyVDB-2029]:
  当該製品にログイン可能なユーザによって、本来操作権限のないワークフローに関するデータを改ざんされる
• [CyVDB-2071]:
  当該製品にログイン可能なユーザによって、本来閲覧権限のないポータルに関するデータを窃取される
• [CyVDB-2085]:
  当該製品にログイン可能なユーザによって、本来閲覧権限のないアドレス帳に関するデータを窃取される
• [CyVDB-2092]、[CyVDB-2283]:
  当該製品にログイン可能なユーザによって、本来操作権限のないメールに関するデータを改ざんされる
• [CyVDB-2099]:
  当該製品に管理者権限でログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる
• [CyVDB-2103]:
  当該製品にログイン可能なユーザによって、本来操作権限のない掲示板に関するデータを改ざんされる
• [CyVDB-2234]:
  当該製品にログイン可能なユーザによって、本来操作権限のないユーザー情報に関するデータを改ざんされる
• [CyVDB-2245]、[CyVDB-2374]:
  当該製品に管理者権限でログイン可能なユーザによって、本来操作権限のないメールに関するデータを改ざんされる
• [CyVDB-2368]:
  当該製品にログイン可能なユーザによって、本来操作権限のないポータルに関するデータを改ざんされる
• [CyVDB-2388]:
  遠隔の第三者によって、ファイル添付に関するデータを窃取される
• [CyVDB-2448]:
  当該製品にログイン可能なユーザによって、本来操作権限のないスケジュールおよびマルチレポートに関するデータを削除される
• [CyVDB-2479]:
  当該製品にログイン可能なユーザによって、本来閲覧権限のない掲示板のタイトル情報を窃取される
• [CyVDB-2755]:
  当該製品にログイン可能なユーザによって、ワークフローの経路情報が削除される
• [CyVDB-2903]:
  当該製品にログイン可能なユーザによって、スペースとメッセージにおけるコメントの宛先情報を窃取される

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。