独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は10月16日、desknet's NEOにおける複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の小田切祥氏と石井健太郎氏、佐藤竜氏、小畑太治郎氏が報告を行っている。影響を受けるシステムは以下の通り。なお、クラウド版も脆弱性の影響を受ける。
・CVE-2025-24833
desknet's NEO V4.0R1.0からV9.0R2.0まで
・CVE-2025-52583
desknet's Web Server
・CVE-2025-54760、CVE-2025-54859
desknet's NEO V9.0R2.0およびそれ以前
・CVE-2025-55072
desknet's NEO V2.0R1.0からV9.0R2.0まで
・CVE-2025-58079、CVE-2025-58426
desknet's NEO V4.0R1.0からV9.0R2.0まで
株式会社ネオジャパンが提供するdesknet's NEOには、下記の影響を受ける可能性がある複数の脆弱性が存在する。
・格納型クロスサイトスクリプティング(CVE-2025-24833、CVE-2025-54760、CVE-2025-55072)
→当該製品にアクセスしている状態のユーザのウェブブラウザ上で任意のスクリプトを実行される
・反射型クロスサイトスクリプティング(CVE-2025-52583)
→当該製品にアクセスしている状態のユーザのウェブブラウザ上で任意のスクリプトを実行される
・格納型クロスサイトスクリプティング(CVE-2025-54859)
→当該製品にアクセスしている状態のユーザのウェブブラウザ上で任意のスクリプトを実行される
・AppSuiteのアプリ作成機能における代替パスの不適切な保護(CVE-2025-58079)
→当該製品にログイン可能な攻撃者によって、不正なAppSuiteアプリを作成される
・ハードコードされた暗号鍵の使用(CVE-2025-58426)
→当該製品にログイン可能な攻撃者によって、不正なAppSuiteアプリを作成される
JVNでは、それぞれ下記の対策を実施するよう呼びかけている。
・CVE-2025-24833、CVE-2025-54760、CVE-2025-54859、CVE-2025-55072、CVE-2025-58079、CVE-2025-58426向け対策
→開発者が提供する情報をもとに、最新版にアップデート
・CVE-2025-52583向け対策
→desknet’s Web Serverの使用を中止し、Internet Information Services(IIS)に移行
なお、クラウド版は2025年10月3日のメンテナンスで修正済みとなっている。
