JVN#90757550
desknet's NEOにおける複数の脆弱性

株式会社ネオジャパンが提供するdesknet's NEOには、複数の脆弱性が存在します。

CVE-2025-24833

• desknet's NEO V4.0R1.0からV9.0R2.0まで

• desknet's Web Server

• desknet's NEO V9.0R2.0およびそれ以前

• desknet's NEO V2.0R1.0からV9.0R2.0まで

• desknet's NEO V4.0R1.0からV9.0R2.0まで

株式会社ネオジャパンが提供するdesknet's NEOには、次の複数の脆弱性が存在します。

• 格納型クロスサイトスクリプティング（CWE-79）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4
  • CVE-2025-24833、CVE-2025-54760、CVE-2025-55072
• 反射型クロスサイトスクリプティング（CWE-79）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1
  • CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1
  • CVE-2025-52583
• 格納型クロスサイトスクリプティング（CWE-79）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.6
  • CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8
  • CVE-2025-54859
• AppSuiteのアプリ作成機能における代替パスの不適切な保護（CWE-424）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3
  • CVE-2025-58079
• ハードコードされた暗号鍵の使用（CWE-321）
  • CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3
  • CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N/ 基本値 4.3
  • CVE-2025-58426

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品にアクセスしている状態のユーザのウェブブラウザ上で、任意のスクリプトを実行される（CVE-2025-24833、CVE-2025-52583、CVE-2025-54760、CVE-2025-54859、CVE-2025-55072）
• 当該製品にログイン可能な攻撃者によって、不正なAppSuiteアプリを作成される（CVE-2025-58079、CVE-2025-58426）

CVE-2025-24833、CVE-2025-54760、CVE-2025-54859、CVE-2025-55072、CVE-2025-58079、CVE-2025-58426向け対策：
アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。

CVE-2025-52583向け対策：
desknet's Web Serverの使用を中止し、IISに移行する
desknet’s Web Serverの使用を中止し、Internet Information Services（IIS）に移行してください。

なお、クラウド版は2025年10月3日のメンテナンスで修正済みです。
詳細は、開発者が提供する情報を確認してください。