公開日: 2020/01/08  最終更新日: 2020/01/08

シンキングリード株式会社からの情報

脆弱性識別番号:JVN#97325754
脆弱性タイトル:F-RevoCRM におけるクロスサイトスクリプティングの脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

対象アプリケーション
F-RevoCRM 6.0 〜 F-RevoCRM 6.5 patch6 までのバージョン6系全て

概要
F-RevoCRMにログインしているユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。

影響
本脆弱性により悪意のあるリンクなどを押した際にウェブブラウザ上から意図しない操作や情報の採取等が行われる可能性があります。

以下、CVSS v3を基準とした影響度です。

・深刻度 緊急
 該当なし

・深刻度 重要
 該当なし

・深刻度 警告
CVSS v3 基本値:6.1
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/BS:6.1

・深刻度 注意
 該当なし

回避方法
F-RevoCRMにログインした状態のみ本脆弱性は有効となります。そのため、信頼性が低い外部サイトを参照する場合などはF-RevoCRMからログアウトした状態にしておく、あるいは別のブラウザを利用していただくことで回避することが可能です。
また、Proxyサーバなどで不適切なサイトへのアクセスを制限することも影響を軽減することが期待できます。

対策
F-RevoCRM 6.5 patch6.1 までのアップデートを実施してください。
バージョンアップ、パッチの適用方法については会員サイトに公開されているプログラム及びパッチファイルに付属のReadmeをご覧ください。

また、当社シンキングリードのサポート契約を締結されているお客様に対しましては個別にご連絡を差し上げた上で対応を実施させていただきます。