公開日:2015/10/07 最終更新日:2016/05/30

JVN#21025396
サイボウズ ガルーンにおいて任意の PHP コードが実行される複数の脆弱性

概要

サイボウズ ガルーンには、任意の PHP コードが実行される複数の脆弱性が存在します。

影響を受けるシステム

  • サイボウズ ガルーン 3.0.0 から 4.0.3 まで

詳細情報

サイボウズ株式会社が提供するサイボウズ ガルーンは、グループウェアです。サイボウズ ガルーンには、任意の PHP コードが実行される脆弱性が複数存在します。

  • [CyVDB-863] 任意のPHPを実行される脆弱性、[CyVDB-867] 任意のPHPを実行される脆弱性 (CVE-2015-5646)
  • [CyVDB-866] RSSリーダーに関する不適切な入力確認の脆弱性 (CVE-2015-5647)
詳しくは、開発者が提供する情報をご確認ください。

想定される影響

当該製品にログイン可能なユーザによって、サーバ上で任意の PHP コードを実行される可能性があります。

対策方法

パッチを適用する
開発者が提供する情報をもとに、対応するパッチを適用してください。

[2016年5月30日追記]
アップデートする
開発者から、本脆弱性を修正したアップデートがリリースされています。
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
サイボウズ株式会社 該当製品あり 2015/10/07 サイボウズ株式会社 の告知ページ

参考情報

  1. IPA
    「サイボウズ ガルーン」における複数の脆弱性の対策について(JVN#21025396)(JVN#38369032)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v2 AV:N/AC:M/Au:S/C:C/I:C/A:C
基本値: 8.5
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2015-5646
CVE-2015-5647
JVN iPedia JVNDB-2015-000151

更新履歴

2015/10/07
参考情報に IPA の注意喚起を追加しました。
2016/05/30
対策方法を更新しました。