Japan Vulnerability Notes

脆弱性対策情報ポータルサイトJVN (Japan Vulnerability Notes)に掲載された記事「JVN#91153528 - サイボウズ ガルーン における複数の SQL インジェクションの脆弱性」が、サイボウズガルーンに複数のSQLインジェクションセキュリティ脆弱性があることを伝えた。2013年年末に公開された「JVN#60997973 - サイボウズ ガルーンにおける SQL インジェクションの脆弱性」とは別のセキュリティ脆弱性だとして注意を呼びかけている。

サイボウズガルーンはサイボウズが提供しているグループウェア。今回、ページ送りリンクやAPIの処理にSQLインジェクションのセキュリティ脆弱性が存在することがわかったとしている。影響を受けるバージョンは「サイボウズ ガルーン 3.7 Service Pack 2 およびそれ以前のバージョン」とされており、この脆弱性を利用されると該当システムにログインできるユーザによってデータベースの内容を改竄されたり想定していないデータを取得される可能性があるとしている。

修正プログラムはすでに提供されているため、該当する場合にはアップデートが推奨される。