サイボウズ「Garoon」および「リモートサービス」に脆弱性（JVN）

IPAおよびJPCERT/CCは、サイボウズが提供するグループウェア「サイボウズ Garoon」および「サイボウズリモートサービス」に脆弱性が存在すると「JVN」で発表した。

脆弱性と脅威セキュリティホール・脆弱性

2018.12.11 Tue 8:00

独立行政法人情報処理推進機構（IPA）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は12月10日、サイボウズ株式会社が提供するグループウェア「サイボウズ Garoon」および「サイボウズリモートサービス」に脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で発表した。CVSS v3による最大Base Scoreは9.6。製品利用者への周知を目的に開発者が報告したほか、三井物産セキュアディレクションの米山俊嗣氏、西谷完太氏が報告を行っている。

「サイボウズ Garoon 3.0.0 から 4.10.0 まで」のシングルサインオン機能には、アクセス制限回避の脆弱性（CVE-2018-16178）が存在する。また、「サイボウズリモートサービス 3.0.0 から 3.1.0 まで」には、ロゴの設定画面で任意のファイルをアップロード可能な脆弱性（CVE-2018-16169）、「同3.0.0 から 3.1.8 まで」には、利用端末の管理画面におけるディレクトリトラバーサルの脆弱性（CVE-2018-16170）、クライアント証明書の登録機能におけるディレクトリトラバーサルの脆弱性（CVE-2018-16171）、クライアント証明書の管理画面におけるクリックジャッキング対策不備（CVE-2018-16172）が存在する。

JVNでは、開発者が提供する情報をもとにパッチあるいはアップデートを適用するよう呼びかけている。

《吉澤亨史（ Kouji Yoshizawa ）》