JVN#28869536
サイボウズGaroonに複数の脆弱性

サイボウズ株式会社が提供するサイボウズGaroonには、複数の脆弱性が存在します。

CVE-2024-31397、CVE-2024-31398、CVE-2024-31399、CVE-2024-31401、CVE-2024-31402

• サイボウズ Garoon 5.0.0から5.15.2まで

• サイボウズ Garoon 5.0.0から5.15.0まで

• サイボウズ Garoon 5.0.0から6.0.0まで

• サイボウズ Garoon 5.5.0から6.0.0まで

サイボウズ株式会社が提供するサイボウズGaroonには、次の複数の脆弱性が存在します。

• メールに関するデータの不適切な取り扱い（CWE-231）
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H 基本値 4.9
  • CVE-2024-31397
  • CyVDB-3167
• APIに関する閲覧制限不備の脆弱性（CWE-201）
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値 4.3
  • CVE-2024-31398
  • CyVDB-3221
• メールに関するサービスが高負荷となる脆弱性（CWE-1050）
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L 基本値 4.3
  • CVE-2024-31399
  • CyVDB-3238
• スケジュールに関するクロスサイトスクリプティングの脆弱性（CWE-79）
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:H/I:L/A:N 基本値 6.9
  • CVE-2024-31401
  • CyVDB-3439
• 共有ToDoに関する操作制限回避の脆弱性（CWE-863）
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3
  • CVE-2024-31402
  • CyVDB-3441
• メールに関する情報漏えいの脆弱性（CWE-201）
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N 基本値 4.3
  • CVE-2024-31400
  • CyVDB-3402
• メモに関する閲覧および操作制限回避の脆弱性（CWE-863）
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値 5.4
  • CVE-2024-31403
  • CyVDB-3151
• スケジュールに関する閲覧制限不備の脆弱性（CWE-201）
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値 4.3
  • CVE-2024-31404
  • CyVDB-3471

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品に管理者としてログイン可能なユーザによって、サービス運用妨害（DoS）攻撃を受ける（CVE-2024-31397）
• 当該製品にログイン可能なユーザによって、ユーザ一覧の情報を取得される（CVE-2024-31398）
• 当該製品で細工されたメールを受信すると、サービス運用妨害（DoS）状態にされる（CVE-2024-31399）
• 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される（CVE-2024-31401）
• 当該製品にログイン可能なユーザによって、共有ToDoに関するデータが削除される（CVE-2024-31402）
• 意図しないデータを取得される（CVE-2024-31400）
• 当該製品にログイン可能なユーザによって、メモに関するデータを取得されたり、改ざんされたりする（CVE-2024-31403）
• 当該製品にログイン可能なユーザによって、スケジュールに関するデータが閲覧される（CVE-2024-31404）

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。