サイボウズ Garoon に複数の脆弱性 | ScanNetSecurity
2025.12.09(火)

サイボウズ Garoon に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月16日、サイボウズ Garoon における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
575 views
facebookLINE

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は5月16日、サイボウズ Garoon における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。Masato Kinugawa 氏、東内 裕二 氏が報告を行っている。影響を受けるシステムは以下の通り。

・サイボウズ Garoon 4.0.0 から 5.5.1 まで
[CyVDB-1584]、[CyVDB-1865]、[CyVDB-2670]、[CyVDB-2660]、[CyVDB-2689]、[CyVDB-2692]、[CyVDB-2718]、[CyVDB-2839]、[CyVDB-2841]、[CyVDB-2897]、[CyVDB-2906]

・サイボウズ Garoon 4.10.0 から 5.5.1 まで
[CyVDB-2667]、[CyVDB-2940]

・サイボウズ Garoon 4.6.0 から 5.9.0 まで
[CyVDB-2685]

・サイボウズ Garoon 4.10.2 から 5.5.1 まで
[CyVDB-2889]

・サイボウズ Garoon 4.2.0 から 5.5.1 まで
[CyVDB-2932]

・サイボウズ Garoon 4.0.0 から 5.9.0 まで
[CyVDB-3001]

 サイボウズ株式会社が提供するサイボウズ Garoon に存在する複数の脆弱性とその影響は下記の通り。

・[CyVDB-1584][CyVDB-2670]
 掲示板に関する操作制限回避の脆弱性(CVE-2022-28718)
→ログイン可能なユーザによって、掲示板に関するデータを改ざんされる

・[CyVDB-1865][CyVDB-2692]
ワークフローに関する操作制限回避の脆弱性(CVE-2022-27661)
→ログイン可能なユーザによって、ワークフローに関するデータを改ざんされる

・[CyVDB-2660]
スペースに関する不適切な入力確認の脆弱性(CVE-2022-29892)
→ログイン可能なユーザによって、一部の機能に繰り返しエラーが表示させられ、サービス運用妨害 (DoS) 攻撃を受ける

・[CyVDB-2667]
スケジュールに関するクロスサイトスクリプティングの脆弱性(CVE-2022-29513)
→当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される

・[CyVDB-2685]
掲示板に関する閲覧制限回避の脆弱性(CVE-2022-29471)
→ログイン可能なユーザによって、掲示板に関するデータを窃取される

・[CyVDB-2689]
ポータルに関する操作制限回避の脆弱性(CVE-2022-26051)
→ログイン可能なユーザによって、ポータルに関するデータを改ざんされる

・[CyVDB-2718]
スケジュールに関する不適切な入力確認の脆弱性(CVE-2022-28692)
→管理者権限でログイン可能なユーザによって、スケジュールに関するデータを改ざんされる

・[CyVDB-2839]
スペースに関する不適切な入力確認の脆弱性(CVE-2022-27803)
→ログイン可能なユーザによって、スペースに関するデータを改ざんされる

・[CyVDB-2841]
ファイル管理に関する閲覧および操作制限回避の脆弱性(CVE-2022-26368)
→ログイン可能なユーザによって、ファイル管理に関するデータを窃取されたり、改ざんされたりする

・[CyVDB-2889]
組織情報に関するクロスサイトスクリプティングの脆弱性(CVE-2022-27627)
→当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される

・[CyVDB-2897]
リンク集に関する操作制限回避の脆弱性(CVE-2022-26054)
→ログイン可能なユーザによって、リンク集に関するデータを改ざんされる

・[CyVDB-2906]
リンク集に関する不適切な入力確認の脆弱性(CVE-2022-27807)
→ログイン可能なユーザによって、カテゴリーの追加をできなくされる

・[CyVDB-2932]
アドレス帳に関する情報漏えいの脆弱性(CVE-2022-29467)
→ログイン可能なユーザによって、アドレス帳の一部のデータを窃取される

・[CyVDB-2940]
スケジュールに関する不適切な認証の脆弱性(CVE-2022-28713)
→ログイン無しで、施設情報の一部のデータを窃取される

・[CyVDB-3001]
スペースに関する操作制限回避の脆弱性(CVE-2022-29484)
→ログイン可能なユーザによって、スペースに関するデータを削除される

 JVNでは、開発者が提供する情報をもとに、最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. 期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

    期限警告 金銭未払 情報漏えい ~ 迷惑メール「HEUR:Hoax.Script.Scaremail」が受信者を脅しそして煽る 5 つのパターン

  2. バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

    バッファロー製 Wi-Fiルータ「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性

  3. 脅迫文がサーバに保存 ~ 東海大学委託先 東海ソフト開発にランサムウェア攻撃

    脅迫文がサーバに保存 ~ 東海大学委託先 東海ソフト開発にランサムウェア攻撃

  4. 創刊 27 周年記念キャンペーンのおしらせ(3)5 万人に一人のエリートからぞくぞくとお問い合わせをいただいております

    創刊 27 周年記念キャンペーンのおしらせ(3)5 万人に一人のエリートからぞくぞくとお問い合わせをいただいております

  5. Yahoo!ショッピング加盟のワインショップから10,268件の受注情報が流出

    Yahoo!ショッピング加盟のワインショップから10,268件の受注情報が流出

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP