JVNDB-2016-000023

[English]
JVNDB-2016-000023
サイボウズ Office におけるアクセス制限回避の脆弱性
概要
サイボウズ株式会社が提供するサイボウズ Office には、複数の機能にアクセス制限回避の脆弱性が存在します。
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.4 (警告) [ベンダ値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): 低 CVSS v2 による深刻度基本値: 5.5 (警告) [ベンダ値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): 部分的
影響を受けるシステム

サイボウズサイボウズ Office 9.0.0 から 10.3.0 まで

想定される影響
遠隔の第三者によって、グループウェアの情報を閲覧される可能性があります。当該製品にログイン可能なユーザによって、本来アクセス不可能な情報を取得されたり、特定機能を操作不可能にされる可能性があります。
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報
サイボウズサイボウズからのお知らせ : ポップアップカレンダーに関する閲覧制限回避の脆弱性[CyVDB-745] サイボウズからのお知らせ : 作成者以外のユーザーが、公開前の掲示の標題を取得できてしまう【CyVDB-940】サイボウズからのお知らせ : 特定の機能を利用して、非公開の報告書の標題が閲覧できてしまう【CyVDB-941】サイボウズからのお知らせ : 参加者に含まれないユーザーが、非公開予定に含まれる情報を参照/操作できてしまう【CyVDB-978】
CWEによる脆弱性タイプ一覧 CWEとは?
認可・権限・アクセス制御(CWE-264) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2015-8484 CVE-2015-8485 CVE-2015-8486 CVE-2016-1152
参考情報
JVN : JVN#48720230 National Vulnerability Database (NVD) : CVE-2015-8484 National Vulnerability Database (NVD) : CVE-2015-8485 National Vulnerability Database (NVD) : CVE-2015-8486 National Vulnerability Database (NVD) : CVE-2016-1152
更新履歴
[2016年02月15日] 掲載 [2016年02月23日] 参考情報：National Vulnerability Database (NVD) (CVE-2015-8484) を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-8485) を追加参考情報：National Vulnerability Database (NVD) (CVE-2015-8486) を追加参考情報：National Vulnerability Database (NVD) (CVE-2016-1152) を追加


公表日	2016/02/15
登録日	2016/02/15
最終更新日	2016/02/23

サイボウズ Office におけるアクセス制限回避の脆弱性