[English]
|
JVNDB-2020-000042
|
サイボウズ Garoon に複数の脆弱性
|
サイボウズ株式会社からサイボウズ Garoon 向けのアップデートが公開されました。
・[CyVDB-2083]シングルサインオンの設定に関する閲覧および操作制限回避の脆弱性 - CVE-2020-5580
・[CyVDB-2451]ポータルに関するパス・トラバーサルの脆弱性 - CVE-2020-5581
・[CyVDB-2097]添付ファイルに関する操作制限回避の脆弱性 - CVE-2020-5582
・[CyVDB-2289]マルチレポートに関する閲覧制限回避の脆弱性 - CVE-2020-5583
・[CyVDB-2305]トークンに関する情報漏えいの脆弱性 - CVE-2020-5584
・[CyVDB-2308]画像アセットに関するクロスサイトスクリプティングの脆弱性 - CVE-2020-5585
・[CyVDB-2309]システム設定に関するクロスサイトスクリプティングの脆弱性 - CVE-2020-5586
・[CyVDB-2361]トークンに関する情報漏えいの脆弱性 - CVE-2020-5587
・[CyVDB-2450]ポータルに関するパス・トラバーサルの脆弱性 - CVE-2020-5588
CVE-2020-5580, CVE-2020-5584
これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 西谷 完太 氏
CVE-2020-5582, CVE-2020-5583
これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: Tanghaifeng 氏
CVE-2020-5587
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 東内 裕二 氏
CVE-2020-5581, CVE-2020-5585, CVE-2020-5586, CVE-2020-5588
これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
|
CVSS v3 による深刻度 基本値: 8.5 (重要) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): 低
- 可用性への影響(A): なし
CVSS v2 による深刻度 基本値: 5.5 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
※上記は、CVE-2020-5580の評価になります。
|
CVSS v3 による深刻度
基本値:
7.7 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): 高
-
完全性への影響(I): なし
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
5.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 不要
-
機密性への影響(C): 部分的
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、 CVE-2020-5581の評価になります。
|
CVSS v3 による深刻度
基本値:
4.3 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): 低
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): なし
-
完全性への影響(I): 部分的
-
可用性への影響(A): なし
※上記は、CVE-2020-5582の評価になります。
|
CVSS v3 による深刻度
基本値:
4.3 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): なし
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): 部分的
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2020-5583の評価になります。
|
CVSS v3 による深刻度
基本値:
6.5 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): なし
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
5.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 不要
-
機密性への影響(C): 部分的
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2020-5584の評価になります。
|
CVSS v3 による深刻度
基本値:
4.8 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 高
-
利用者の関与: 要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): 低
-
完全性への影響(I): 低
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
5.5 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): 部分的
-
完全性への影響(I): 部分的
-
可用性への影響(A): なし
※上記は、CVE-2020-5585の評価になります。
|
CVSS v3 による深刻度
基本値:
4.8 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 高
-
利用者の関与: 要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): 低
-
完全性への影響(I): 低
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): なし
-
完全性への影響(I): 部分的
-
可用性への影響(A): なし
※上記は、CVE-2020-5586の評価になります。
|
CVSS v3 による深刻度
基本値:
5.3 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 高
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 高
-
完全性への影響(I): なし
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
2.6 (注意)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 高
-
攻撃前の認証要否: 不要
-
機密性への影響(C): 部分的
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2020-5587の評価になります。
|
CVSS v3 による深刻度
基本値:
6.8 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 高
-
利用者の関与: 不要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): 高
-
完全性への影響(I): なし
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): 部分的
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2020-5588の評価になります。
|
|
サイボウズ
- サイボウズ ガルーン 4.0.0 から 5.0.1 まで [CyVDB-2083]、[CyVDB-2451]、[CyVDB-2097]、[CyVDB-2289]、[CyVDB-2305]、[CyVDB-2361]
- サイボウズ ガルーン 5.0.0 から 5.0.1 まで [CyVDB-2308]、[CyVDB-2450]
- サイボウズ ガルーン 4.10.3 から 5.0.1 まで [CyVDB-2309]
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
[CyVDB-2083]:
当該製品のユーザによって、シングルサインオンの設定を閲覧されたり、改ざんされる
[CyVDB-2451]:
当該製品のユーザによって、意図しない情報を取得される
[CyVDB-2097]:
当該製品のユーザによって、レポートに添付されたファイルに関するデータが改ざんされる
[CyVDB-2289]:
当該製品のユーザによって、閲覧権限のないマルチレポートのデータが取得される
[CyVDB-2305]、[CyVDB-2361]:
遠隔の第三者によって、意図しない情報を取得される
[CyVDB-2308]、[CyVDB-2309]:
当該製品に管理者権限でログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
[CyVDB-2450]:
当該製品の管理者権限を持つユーザによって、意図しない情報を取得される
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
|
サイボウズ
|
- 認可・権限・アクセス制御(CWE-264) [IPA評価]
- パス・トラバーサル(CWE-22) [IPA評価]
- 情報漏えい(CWE-200) [IPA評価]
- クロスサイトスクリプティング(CWE-79) [IPA評価]
|
- CVE-2020-5580
- CVE-2020-5581
- CVE-2020-5582
- CVE-2020-5583
- CVE-2020-5584
- CVE-2020-5585
- CVE-2020-5586
- CVE-2020-5587
- CVE-2020-5588
|
- JVN : JVN#55497111
- National Vulnerability Database (NVD) : CVE-2020-5580
- National Vulnerability Database (NVD) : CVE-2020-5581
- National Vulnerability Database (NVD) : CVE-2020-5582
- National Vulnerability Database (NVD) : CVE-2020-5583
- National Vulnerability Database (NVD) : CVE-2020-5584
- National Vulnerability Database (NVD) : CVE-2020-5585
- National Vulnerability Database (NVD) : CVE-2020-5586
- National Vulnerability Database (NVD) : CVE-2020-5587
- National Vulnerability Database (NVD) : CVE-2020-5588
|
|