「サイボウズガルーン」にDoSや情報漏えいなど複数の脆弱性（JVN）

IPAおよびJPCERT/CCは、サイボウズが提供するグループウェア「サイボウズガルーン」に複数の脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2017.8.22 Tue 9:49

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は8月21日、サイボウズ株式会社が提供するグループウェア「サイボウズガルーン」に複数の脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは6.1。CVE-2017-2254は小勝純氏が報告、CVE-2017-2255、CVE-2017-2256、CVE-2017-2257はMasato Kinugawa氏が報告、それ以外は開発者が報告した。

影響を受けるバージョンと脆弱性は次の通り。

「サイボウズガルーン 3.5.0 から 4.2.5 まで（CVE-2017-2254）」
「サイボウズガルーン 3.7.0 から 4.2.5 まで（CVE-2017-2255）」
「サイボウズガルーン 3.0.0 から 4.2.5 まで（CVE-2017-2256、CVE-2017-2257）」
「サイボウズガルーン 4.2.4 から 4.2.5 まで（CVE-2017-2258）」
」

これらには、アプリケーションメニューの編集機能におけるサービス運用妨害（CVE-2017-2254）、アプリ「スペース」の書式編集機能における格納型クロスサイトスクリプティング（CVE-2017-2255）、アプリ「メモ」の書式編集機能における格納型クロスサイトスクリプティング（CVE-2017-2256）、メール機能に関するクロスサイトスクリプティング（CVE-2017-2257）、連携API WorkflowHandleApplications に関するディレクトリトラバーサル（CVE-2017-2258）の脆弱性が存在する。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》