IPAセキュリティセンターとJPCERT/CCは4月9日、大企業向けグループウェア「サイボウズ Garoon」における複数の脆弱性を、JVN(Japan Vulnerability Notes)において公表した。
サイボウズ Garoonには、以下の複数の脆弱性が存在する。
- アプリケーション「アドレス帳」に関する SQL インジェクション(CVE-2018-0530)
- フォルダの設定における操作制限回避(CVE-2018-0531)
- ログイン認証の設定における操作制限回避(CVE-2018-0532)
- セッション認証の設定における操作制限回避(CVE-2018-0533)
- アプリケーション「スペース」に関する閲覧制限回避(CVE-2018-0548)
- アプリケーション「メッセージ」の書式編集における格納型クロスサイト・スクリプティング(CVE-2018-0549)
- アプリケーション「ファイル管理」に関する閲覧制限回避(CVE-2018-0550)
- アプリケーション「スペース」の書式編集における格納型クロスサイト・スクリプティング(CVE-2018-0551)
想定される影響は各脆弱性により異なるが、以下のような影響を受ける可能性がある。
- 当該製品にログイン可能なユーザによって、データベース内の情報を取得される(CVE-2018-0530)
- 一つ以上のフォルダに運用管理権限を持つユーザによって、本来運用管理権限を持たないフォルダのアクセス権限や通知設定を閲覧されたり、変更されたりする(CVE-2018-0531)
- 当該製品に管理者権限でログイン可能なユーザによって、標準データベースの設定データを改ざんされる(CVE-2018-0532)
- 当該製品に管理者権限でログイン可能なユーザによって、セッション認証の設定データを改ざんされる(CVE-2018-0533)
- 当該製品にログイン可能なユーザによって、非公開スペースのタイトルを閲覧される(CVE-2018-0548)
- 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2018-0549、CVE-2018-0551)
- 当該製品にログイン可能なユーザによって、本来閲覧権限のないフォルダ名を閲覧される(CVE-2018-0550)
IPAらは対策方法として開発者が提供する情報をもとに、最新版へのアップデートを促している。