JVN#51737843
サイボウズ Office における複数の脆弱性

サイボウズ株式会社が提供するサイボウズ Office には、複数の脆弱性が存在します。

• サイボウズ Office 10.0.0 から 10.7.0 まで (CVE-2018-0526, CVE-2018-0527, CVE-2018-0528, CVE-2018-0529)
• サイボウズ Office 10.0.0 から 10.8.0 まで (CVE-2018-0565, CVE-2018-0566, CVE-2018-0567)

サイボウズ株式会社が提供するサイボウズ Office には、次の複数の脆弱性が存在します。

• アプリケーション「メッセージ」に外部画像の展開による情報漏えい (CWE-200) - CVE-2018-0526

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:M/Au:N/C:P/I:N/A:N	基本値: 4.3

• アプリケーション「メール」のメール詳細画面に格納型クロスサイトスクリプティング (CWE-79) - CVE-2018-0527

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:M/Au:N/C:N/I:P/A:N	基本値: 4.3

• アプリケーション「スケジュール」に関する閲覧制限回避 (CWE-264) - CVE-2018-0528

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:M/Au:S/C:P/I:N/A:N	基本値: 3.5

• アプリケーション「メッセージ」のファイル添付処理に起因するサービス運用妨害 (DoS) (CWE-20) - CVE-2018-0529

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:N/C:N/I:N/A:P	基本値: 5.0

• アプリケーション「報告書」に反射型クロスサイトスクリプティング (CWE-79) - CVE-2018-0565

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N	基本値: 6.1
  CVSS v2	AV:N/AC:H/Au:N/C:N/I:P/A:N	基本値: 2.6

• アプリケーション「スケジュール」に関する閲覧制限回避 (CWE-264) - CVE-2018-0566

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:M/Au:S/C:P/I:N/A:N	基本値: 3.5

• アプリケーション「掲示板」に関する操作制限回避 (CWE-264) - CVE-2018-0567

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品のユーザがメッセージを閲覧した際、添付されている外部サーバの画像がユーザの許可なく表示される - CVE-2018-0526
• 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2018-0527, CVE-2018-0565
• 当該製品のアカウントを持つユーザによって、本来アクセスできないスケジュールを閲覧される - CVE-2018-0528
• 当該製品のユーザが、メッセージ送信画面において細工された画像ファイルを添付する操作を行うことでサービス運用妨害 (DoS) 状態になる - CVE-2018-0529
• 当該製品にログイン可能なユーザによって、本来閲覧権限のないユーザのスケジュールを取得される - CVE-2018-0566
• 当該製品にログイン可能なユーザによって、本来操作権限のない公開前のデータに書き込みされる - CVE-2018-0567

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。