JVNDB-2022-000035

サイボウズ Garoon に複数の脆弱性

サイボウズ株式会社が提供するサイボウズ Garoon には、次の複数の脆弱性が存在します。

・[CyVDB-1584][CyVDB-2670]掲示板に関する操作制限回避の脆弱性 (CWE-285) - CVE-2022-28718
・[CyVDB-1865][CyVDB-2692]ワークフローに関する操作制限回避の脆弱性 (CWE-285) - CVE-2022-27661
・[CyVDB-2660]スペースに関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2022-29892
・[CyVDB-2667]スケジュールに関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2022-29513
・[CyVDB-2685]掲示板に関する閲覧制限回避の脆弱性 (CWE-284) - CVE-2022-29471
・[CyVDB-2689]ポータルに関する操作制限回避の脆弱性 (CWE-285) - CVE-2022-26051
・[CyVDB-2718]スケジュールに関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2022-28692
・[CyVDB-2839]スペースに関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2022-27803
・[CyVDB-2841]ファイル管理に関する閲覧および操作制限回避の脆弱性 (CWE-285) - CVE-2022-26368
・[CyVDB-2889]組織情報に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2022-27627
・[CyVDB-2897]リンク集に関する操作制限回避の脆弱性 (CWE-285) - CVE-2022-26054
・[CyVDB-2906]リンク集に関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2022-27807
・[CyVDB-2932]アドレス帳に関する情報漏えいの脆弱性 (CWE-200) - CVE-2022-29467
・[CyVDB-2940]スケジュールに関する不適切な認証の脆弱性 (CWE-287) - CVE-2022-28713
・[CyVDB-3001]スペースに関する操作制限回避の脆弱性 (CWE-285) - CVE-2022-29484
・[CyVDB-2911]ファイル管理に関する閲覧制限回避の脆弱性 (CWE-284) - CVE-2022-31472

CVE-2022-27627
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: Masato Kinugawa 氏

CVE-2022-26054, CVE-2022-26368, CVE-2022-31472
これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 東内 裕二 氏

CVE-2022-26051, CVE-2022-27661, CVE-2022-27803, CVE-2022-27807, CVE-2022-28692, CVE-2022-28713, CVE-2022-28718, CVE-2022-29467, CVE-2022-29471, CVE-2022-29484, CVE-2022-29513, CVE-2022-29892
これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。

サイボウズ

• サイボウズ ガルーン 4.0.0 から 5.5.1 まで [CyVDB-1584]、[CyVDB-1865]、[CyVDB-2670]、[CyVDB-2660]、[CyVDB-2689]、[CyVDB-2692]、[CyVDB-2718]、[CyVDB-2839]、[CyVDB-2841]、[CyVDB-2897]、[CyVDB-2906]、[CyVDB-2911]
• サイボウズ ガルーン 4.10.0 から 5.5.1 まで [CyVDB-2667]、[CyVDB-2940]
• サイボウズ ガルーン 4.6.0 から 5.9.0 まで [CyVDB-2685]
• サイボウズ ガルーン 4.10.2 から 5.5.1 まで [CyVDB-2889]
• サイボウズ ガルーン 4.2.0 から 5.5.1 まで [CyVDB-2932]
• サイボウズ ガルーン 4.0.0 から 5.9.0 まで [CyVDB-3001]

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・[CyVDB-1584]、[CyVDB-2670]:
ログイン可能なユーザによって、掲示板に関するデータを改ざんされる
・[CyVDB-1865]、[CyVDB-2692]:
ログイン可能なユーザによって、ワークフローに関するデータを改ざんされる
・[CyVDB-2660]:
ログイン可能なユーザによって、一部の機能に繰り返しエラーが表示させられ、サービス運用妨害 (DoS) 攻撃を受ける
・[CyVDB-2667]、[CyVDB-2889]:
当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される
・[CyVDB-2685]:
ログイン可能なユーザによって、掲示板に関するデータを窃取される
・[CyVDB-2689]:
ログイン可能なユーザによって、ポータルに関するデータを改ざんされる
・[CyVDB-2718]:
ログイン可能なユーザによって、スケジュールに関するデータを改ざんされる
・[CyVDB-2839]:
ログイン可能なユーザによって、スペースに関するデータを改ざんされる
・[CyVDB-2841]:
ログイン可能なユーザによって、ファイル管理に関するデータを窃取されたり、改ざんされたりする
・[CyVDB-2897]:
ログイン可能なユーザによって、リンク集に関するデータを改ざんされる
・[CyVDB-2906]:
ログイン可能なユーザによって、カテゴリーの追加をできなくされる
・[CyVDB-2932]:
ログイン可能なユーザによって、アドレス帳の一部のデータを窃取される
・[CyVDB-2940]:
ログイン無しで、施設情報の一部のデータを窃取される
・[CyVDB-3001]:
ログイン可能なユーザによって、スペースに関するデータを削除される
・[CyVDB-2911]:
ログイン可能なユーザによって、ファイル管理に関するデータを窃取される

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

サイボウズ

• サイボウズからのお知らせ : パッケージ版 Garoon 脆弱性に関するお知らせ

1. 不適切な認証(CWE-287) [IPA評価]
2. 不適切な入力確認(CWE-20) [IPA評価]
3. 情報漏えい(CWE-200) [IPA評価]
4. クロスサイトスクリプティング(CWE-79) [IPA評価]
5. 認可・権限・アクセス制御(CWE-264) [IPA評価]
6. その他(CWE-Other) [IPA評価]

1. CVE-2022-26051
2. CVE-2022-26054
3. CVE-2022-26368
4. CVE-2022-27627
5. CVE-2022-27661
6. CVE-2022-27803
7. CVE-2022-27807
8. CVE-2022-28692
9. CVE-2022-28713
10. CVE-2022-28718
11. CVE-2022-29467
12. CVE-2022-29471
13. CVE-2022-29484
14. CVE-2022-29513
15. CVE-2022-29892
16. CVE-2022-31472

1. JVN : JVN#73897863
2. National Vulnerability Database (NVD) : CVE-2022-26051
3. National Vulnerability Database (NVD) : CVE-2022-26054
4. National Vulnerability Database (NVD) : CVE-2022-26368
5. National Vulnerability Database (NVD) : CVE-2022-27627
6. National Vulnerability Database (NVD) : CVE-2022-27661
7. National Vulnerability Database (NVD) : CVE-2022-27803
8. National Vulnerability Database (NVD) : CVE-2022-27807
9. National Vulnerability Database (NVD) : CVE-2022-28692
10. National Vulnerability Database (NVD) : CVE-2022-28713
11. National Vulnerability Database (NVD) : CVE-2022-28718
12. National Vulnerability Database (NVD) : CVE-2022-29467
13. National Vulnerability Database (NVD) : CVE-2022-29471
14. National Vulnerability Database (NVD) : CVE-2022-29484
15. National Vulnerability Database (NVD) : CVE-2022-29513
16. National Vulnerability Database (NVD) : CVE-2022-29892
17. National Vulnerability Database (NVD) : CVE-2022-31472

• [2022年05月16日]
    掲載
• [2022年07月04日]
    概要：内容を更新
    CVSS による深刻度：内容を更新
    影響を受けるシステム：ベンダ情報 ([CyVDB-2911]) の更新に伴い内容を更新
    想定される影響：内容を更新
    共通脆弱性識別子(CVE) ：(CVE-2022-31472) を追加
• [2022年07月06日]
    想定される影響：内容を更新
• [2024年06月17日]
    参考情報：National Vulnerability Database (NVD) (CVE-2022-26051) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-26054) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-26368) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-27627) を追加 
    参考情報：National Vulnerability Database (NVD) (CVE-2022-27661) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-27803) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-27807) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-28692) を追加 
    参考情報：National Vulnerability Database (NVD) (CVE-2022-28713) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-28718) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-29467) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-29471) を追加     
    参考情報：National Vulnerability Database (NVD) (CVE-2022-29484) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-29513) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-29892) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2022-31472) を追加