JVN#19940619
GroupSessionにおける複数の脆弱性
日本トータルシステム株式会社が提供するGroupSessionには、複数の脆弱性が存在します。
CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-58576、CVE-2025-61950、CVE-2025-61987、CVE-2025-62192
- GroupSession 無料版 ver5.3.0より前のバージョン
- GroupSession byCloud ver5.3.3より前のバージョン
- GroupSession ZION ver5.3.2より前のバージョン
- GroupSession 無料版 ver5.7.1より前のバージョン
- GroupSession byCloud ver5.7.1より前のバージョン
- GroupSession ZION ver5.7.1より前のバージョン
日本トータルシステム株式会社が提供するGroupSessionには、次の複数の脆弱性が存在します。
- 格納型クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8
- CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4
- CVE-2025-53523
- 格納型クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1
- CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
- CVE-2025-54407
- 反射型クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1
- CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
- CVE-2025-57883
- クロスサイトリクエストフォージェリ(CWE-352)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 - CVE-2025-58576
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1
- ユーザ識別情報操作による権限チェック回避(CWE-639)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3
- CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3
- CVE-2025-61950
- WebSocketにおけるオリジン検証不備(CWE-1385)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9
- CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3
- CVE-2025-61987
- SQLインジェクション(CWE-89)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3
- CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値 5.4
- CVE-2025-62192
- 安全ではない初期設定(CWE-1188)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1
- CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N 基本値 4.7
- CVE-2025-64781
- 「外部ページ表示制限設定」が初期値の"制限しない"のままの場合、本脆弱性の影響を受けます
- 反射型クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1
- CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
- CVE-2025-65120
- 格納型クロスサイトスクリプティング(CWE-79)
- CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8
- CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4
- CVE-2025-66284
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- 細工されたページやURLにアクセスした場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-65120、CVE-2025-66284)
- 細工されたページにアクセスした場合、意図していない操作をさせられる(CVE-2025-58576)
- 当該製品にログインしたユーザによって、回覧板のメモを改ざんされる(CVE-2025-61950)
- 細工されたページにアクセスした場合、ユーザ宛に送信されたチャットの情報が漏えいする(CVE-2025-61987)
- 当該製品にログインしたユーザによって、データベース内の情報を取得されたり改ざんされたりする(CVE-2025-62192)
- 細工されたURLにアクセスすることで、任意のウェブサイトにリダイレクトされる(CVE-2025-64781)
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
CVE-2025-53523
報告者:GMOサイバーセキュリティ byイエラエ株式会社 井餘田 笙悟 氏
三井物産セキュアディレクション株式会社 望月岳 氏、荒牧努 氏
古川菜摘 氏
CVE-2025-54407
報告者:三井物産セキュアディレクション株式会社 米山 俊嗣 氏
CVE-2025-57883
報告者:三井物産セキュアディレクション株式会社 露木 拓巳 氏
佐藤竜 氏
CVE-2025-58576
報告者:三井物産セキュアディレクション株式会社 露木 拓巳 氏、山本 健太 氏、望月岳 氏
GMOサイバーセキュリティ byイエラエ株式会社 井餘田 笙悟 氏
CVE-2025-61950
報告者:三井物産セキュアディレクション株式会社 荒牧努 氏
CVE-2025-61987
報告者:三井物産セキュアディレクション株式会社 望月岳 氏
CVE-2025-62192
報告者:三井物産セキュアディレクション株式会社 望月岳 氏、荒牧努 氏
CVE-2025-64781
報告者:佐藤竜 氏
CVE-2025-65120
報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏
株式会社ブロードバンドセキュリティ 志賀 拓馬 氏
CVE-2025-66284
報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏
榎田小次郎 氏
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2025-53523 |
|
CVE-2025-54407 |
|
|
CVE-2025-57883 |
|
|
CVE-2025-58576 |
|
|
CVE-2025-61950 |
|
|
CVE-2025-61987 |
|
|
CVE-2025-62192 |
|
|
CVE-2025-64781 |
|
|
CVE-2025-65120 |
|
|
CVE-2025-66284 |
|
| JVN iPedia |
JVNDB-2025-000113 |
