サイボウズ Garoon に複数の脆弱性 | ScanNetSecurity
2025.10.05(日)

サイボウズ Garoon に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月16日、サイボウズ Garoon における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
575 views
facebookLINE

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月16日、サイボウズ Garoon における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Masato Kinugawa 氏、東内 裕二 氏が報告を行っている。影響を受けるシステムは以下の通り。

・サイボウズ Garoon 4.0.0 から 5.5.1 まで
[CyVDB-1584]、[CyVDB-1865]、[CyVDB-2670]、[CyVDB-2660]、[CyVDB-2689]、[CyVDB-2692]、[CyVDB-2718]、[CyVDB-2839]、[CyVDB-2841]、[CyVDB-2897]、[CyVDB-2906]

・サイボウズ Garoon 4.10.0 から 5.5.1 まで
[CyVDB-2667]、[CyVDB-2940]

・サイボウズ Garoon 4.6.0 から 5.9.0 まで
[CyVDB-2685]

・サイボウズ Garoon 4.10.2 から 5.5.1 まで
[CyVDB-2889]

・サイボウズ Garoon 4.2.0 から 5.5.1 まで
[CyVDB-2932]

・サイボウズ Garoon 4.0.0 から 5.9.0 まで
[CyVDB-3001]

 サイボウズ株式会社が提供するサイボウズ Garoon に存在する複数の脆弱性とその影響は下記の通り。

・[CyVDB-1584][CyVDB-2670]
 掲示板に関する操作制限回避の脆弱性(CVE-2022-28718)
→ログイン可能なユーザによって、掲示板に関するデータを改ざんされる

・[CyVDB-1865][CyVDB-2692]
ワークフローに関する操作制限回避の脆弱性(CVE-2022-27661)
→ログイン可能なユーザによって、ワークフローに関するデータを改ざんされる

・[CyVDB-2660]
スペースに関する不適切な入力確認の脆弱性(CVE-2022-29892)
→ログイン可能なユーザによって、一部の機能に繰り返しエラーが表示させられ、サービス運用妨害 (DoS) 攻撃を受ける

・[CyVDB-2667]
スケジュールに関するクロスサイトスクリプティングの脆弱性(CVE-2022-29513)
→当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される

・[CyVDB-2685]
掲示板に関する閲覧制限回避の脆弱性(CVE-2022-29471)
→ログイン可能なユーザによって、掲示板に関するデータを窃取される

・[CyVDB-2689]
ポータルに関する操作制限回避の脆弱性(CVE-2022-26051)
→ログイン可能なユーザによって、ポータルに関するデータを改ざんされる

・[CyVDB-2718]
スケジュールに関する不適切な入力確認の脆弱性(CVE-2022-28692)
→管理者権限でログイン可能なユーザによって、スケジュールに関するデータを改ざんされる

・[CyVDB-2839]
スペースに関する不適切な入力確認の脆弱性(CVE-2022-27803)
→ログイン可能なユーザによって、スペースに関するデータを改ざんされる

・[CyVDB-2841]
ファイル管理に関する閲覧および操作制限回避の脆弱性(CVE-2022-26368)
→ログイン可能なユーザによって、ファイル管理に関するデータを窃取されたり、改ざんされたりする

・[CyVDB-2889]
組織情報に関するクロスサイトスクリプティングの脆弱性(CVE-2022-27627)
→当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される

・[CyVDB-2897]
リンク集に関する操作制限回避の脆弱性(CVE-2022-26054)
→ログイン可能なユーザによって、リンク集に関するデータを改ざんされる

・[CyVDB-2906]
リンク集に関する不適切な入力確認の脆弱性(CVE-2022-27807)
→ログイン可能なユーザによって、カテゴリーの追加をできなくされる

・[CyVDB-2932]
アドレス帳に関する情報漏えいの脆弱性(CVE-2022-29467)
→ログイン可能なユーザによって、アドレス帳の一部のデータを窃取される

・[CyVDB-2940]
スケジュールに関する不適切な認証の脆弱性(CVE-2022-28713)
→ログイン無しで、施設情報の一部のデータを窃取される

・[CyVDB-3001]
スペースに関する操作制限回避の脆弱性(CVE-2022-29484)
→ログイン可能なユーザによって、スペースに関するデータを削除される

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  2. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  3. 日本語2バイト文字の防壁が消失 日本プルーフポイント 増田幸美が考える「最も狙われる日本に必要な守りの再定義」

    日本語2バイト文字の防壁が消失 日本プルーフポイント 増田幸美が考える「最も狙われる日本に必要な守りの再定義」PR

  4. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  5. アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

    アサヒグループホールディングスにサイバー攻撃、現時点で復旧の目処立たず

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP