JVN#55497111
サイボウズ Garoon に複数の脆弱性
サイボウズ株式会社からサイボウズ Garoon 向けのアップデートが公開されました。
[CyVDB-2083]、[CyVDB-2451]、[CyVDB-2097]、[CyVDB-2289]、[CyVDB-2305]、[CyVDB-2361]
- サイボウズ Garoon 4.0.0 から 5.0.1 まで
- サイボウズ Garoon 5.0.0 から 5.0.1 まで
- サイボウズ Garoon 4.10.3 から 5.0.1 まで
サイボウズ株式会社からサイボウズ Garoon 向けのアップデートが公開されました。
- [CyVDB-2083]シングルサインオンの設定に関する閲覧および操作制限回避の脆弱性 - CVE-2020-5580
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N 基本値: 8.5 CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:N 基本値: 5.5 - [CyVDB-2451]ポータルに関するパス・トラバーサルの脆弱性 - CVE-2020-5581
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:N/A:N 基本値: 7.7 CVSS v2 AV:N/AC:L/Au:N/C:P/I:N/A:N 基本値: 5.0 - [CyVDB-2097]添付ファイルに関する操作制限回避の脆弱性 - CVE-2020-5582
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値: 4.3 CVSS v2 AV:N/AC:L/Au:S/C:N/I:P/A:N 基本値: 4.0 - [CyVDB-2289]マルチレポートに関する閲覧制限回避の脆弱性 - CVE-2020-5583
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N 基本値: 4.3 CVSS v2 AV:N/AC:L/Au:S/C:P/I:N/A:N 基本値: 4.0 - [CyVDB-2305]トークンに関する情報漏えいの脆弱性 - CVE-2020-5584
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 6.5 CVSS v2 AV:N/AC:L/Au:N/C:P/I:N/A:N 基本値: 5.0 - [CyVDB-2308]画像アセットに関するクロスサイトスクリプティングの脆弱性 - CVE-2020-5585
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値: 4.8 CVSS v2 AV:N/AC:L/Au:S/C:P/I:P/A:N 基本値: 5.5 - [CyVDB-2309]システム設定に関するクロスサイトスクリプティングの脆弱性 - CVE-2020-5586
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値: 4.8 CVSS v2 AV:N/AC:L/Au:S/C:N/I:P/A:N 基本値: 4.0 - [CyVDB-2361]トークンに関する情報漏えいの脆弱性 - CVE-2020-5587
CVSS v3 CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N 基本値: 5.3 CVSS v2 AV:N/AC:H/Au:N/C:P/I:N/A:N 基本値: 2.6 - [CyVDB-2450]ポータルに関するパス・トラバーサルの脆弱性 - CVE-2020-5588
CVSS v3 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N 基本値: 6.8 CVSS v2 AV:N/AC:L/Au:S/C:P/I:N/A:N 基本値: 4.0
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
- [CyVDB-2083]:
当該製品のユーザによって、シングルサインオンの設定を閲覧されたり、改ざんされる - [CyVDB-2451]:
当該製品のユーザによって、意図しない情報を取得される - [CyVDB-2097]:
当該製品のユーザによって、レポートに添付されたファイルに関するデータが改ざんされる - [CyVDB-2289]:
当該製品のユーザによって、閲覧権限のないマルチレポートのデータが取得される - [CyVDB-2305]、[CyVDB-2361]:
遠隔の第三者によって、意図しない情報を取得される - [CyVDB-2308]、[CyVDB-2309]:
当該製品に管理者権限でログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される - [CyVDB-2450]:
当該製品の管理者権限を持つユーザによって、意図しない情報を取得される
アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。
CVE-2020-5580, CVE-2020-5584
これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 西谷 完太 氏
CVE-2020-5582, CVE-2020-5583
これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Tanghaifeng 氏
CVE-2020-5587
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 東内 裕二 氏
CVE-2020-5581, CVE-2020-5585, CVE-2020-5586, CVE-2020-5588
これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
| JPCERT 緊急報告 |
|
| JPCERT REPORT |
|
| CERT Advisory |
|
| CPNI Advisory |
|
| TRnotes |
|
| CVE |
CVE-2020-5580 |
|
CVE-2020-5581 |
|
|
CVE-2020-5582 |
|
|
CVE-2020-5583 |
|
|
CVE-2020-5584 |
|
|
CVE-2020-5585 |
|
|
CVE-2020-5586 |
|
|
CVE-2020-5587 |
|
|
CVE-2020-5588 |
|
| JVN iPedia |
JVNDB-2020-000042 |
