公開日:2022/07/04 最終更新日:2022/07/06
JVN#14077132
サイボウズ Garoon に複数の脆弱性
サイボウズ株式会社からサイボウズ Garoon 向けのアップデートが公開されました。
- サイボウズ Garoon 4.0.0 から 5.9.1 まで
サイボウズ株式会社が提供するサイボウズ Garoon には、次の複数の脆弱性が存在します。
- [CyVDB-2909]複数アプリケーションにおける操作制限回避の脆弱性 (CWE-285) - CVE-2022-30602
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L 基本値: 5.4 CVSS v2 AV:N/AC:L/Au:S/C:N/I:P/A:P 基本値: 5.5 - [CyVDB-3042]複数アプリケーションにおける情報漏えいの脆弱性 (CWE-200) - CVE-2022-29512
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3 CVSS v2 AV:N/AC:L/Au:S/C:P/I:N/A:N 基本値: 4.0 [CyVDB-3111]複数のアプリケーションに関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2022-29926CVSS v3CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H基本値: 7.1CVSS v2AV:N/AC:L/Au:S/C:N/I:P/A:P基本値: 5.5- [CyVDB-3143]掲示板に関する閲覧制限回避の脆弱性 (CWE-284) - CVE-2022-30943
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3 CVSS v2 AV:N/AC:L/Au:S/C:P/I:N/A:N 基本値: 4.0
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- [CyVDB-2909]:
ログイン可能なユーザによって、ファイル情報を改ざんされたりファイルを削除されたりする - [CyVDB-3042]:
ログイン可能なユーザによって、本来閲覧権限のないデータを確認される [CyVDB-3111]:
ログイン可能なユーザによって、サービス運用妨害 (DoS) 攻撃を受ける- [CyVDB-3143]:
ログイン可能なユーザによって、掲示板に関するデータを取得される
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
(2022年7月6日追記)
開発者によると、[CyVDB-3111] は脆弱性に該当しないことが判明したとのことです。これを受け、本 JVN アドバイザリの記載内容を訂正し、更新しました。
CVE-2022-30602
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 閏間 修一 氏
CVE-2022-30943
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 東内 裕二 氏
CVE-2022-29512
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2022-29512 |
|
CVE-2022-29926 |
|
|
CVE-2022-30602 |
|
|
CVE-2022-30943 |
|
| JVN iPedia |
JVNDB-2022-000051 |
- 2022/07/06
- [CyVDB-3111] は脆弱性情報に該当しないことが判明した旨を追記し、更新しました
- 2022/07/06
- サイボウズ株式会社のベンダステータスが更新されました
