|
[English]
|
JVNDB-2022-000051
|
サイボウズ Garoon に複数の脆弱性
|
|
サイボウズ株式会社が提供するサイボウズ Garoon には、次の複数の脆弱性が存在します。
・[CyVDB-2909]複数アプリケーションにおける操作制限回避の脆弱性 (CWE-285) - CVE-2022-30602
・[CyVDB-3042]複数アプリケーションにおける情報漏えいの脆弱性 (CWE-200) - CVE-2022-29512
・[CyVDB-3111]複数のアプリケーションに関する不適切な入力確認の脆弱性 (CWE-20) - CVE-2022-29926
・[CyVDB-3143]掲示板に関する閲覧制限回避の脆弱性 (CWE-284) - CVE-2022-30943
CVE-2022-30602
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 閏間 修一 氏
CVE-2022-30943
この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: 東内 裕二 氏
CVE-2022-29512
この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
※開発者によると、[CyVDB-3111] は脆弱性に該当しないことが判明したとのことです。これを受け、本 JVN アドバイザリの記載内容を訂正し、更新しました。
|
|
CVSS v3 による深刻度
基本値: 5.4 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): なし
- 完全性への影響(I): 低
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 5.5 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃前の認証要否: 単一
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
※上記は、CVE-2022-30602の評価になります。
|
CVSS v3 による深刻度
基本値:
4.3 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): なし
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): 部分的
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2022-29512の評価になります。
|
CVSS v3 による深刻度
基本値:
7.1 (重要) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): なし
-
完全性への影響(I): 低
-
可用性への影響(A): 高
CVSS v2 による深刻度基本値:
5.5 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): なし
-
完全性への影響(I): 部分的
-
可用性への影響(A): 部分的
※上記は、CVE-2022-29926の評価になります。
|
CVSS v3 による深刻度
基本値:
4.3 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 低
-
利用者の関与: 不要
-
影響の想定範囲: 変更なし
-
機密性への影響(C): 低
-
完全性への影響(I): なし
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.0 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃前の認証要否: 単一
-
機密性への影響(C): 部分的
-
完全性への影響(I): なし
-
可用性への影響(A): なし
※上記は、CVE-2022-30943の評価になります。
|
|
|
サイボウズ
- サイボウズ ガルーン 4.0.0 から 5.9.1 まで
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・[CyVDB-2909]:
ログイン可能なユーザによって、ファイル情報を改ざんされたりファイルを削除されたりする
・[CyVDB-3042]:
ログイン可能なユーザによって、本来閲覧権限のないデータを確認される
・[CyVDB-3111]:
ログイン可能なユーザによって、サービス運用妨害 (DoS) 攻撃を受ける
・[CyVDB-3143]:
ログイン可能なユーザによって、掲示板に関するデータを取得される
|
|
[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。
|
|
サイボウズ
|
|
- 認可・権限・アクセス制御(CWE-264) [IPA評価]
- 情報漏えい(CWE-200) [IPA評価]
|
|
- CVE-2022-30602
- CVE-2022-29512
- CVE-2022-29926
- CVE-2022-30943
|
|
- JVN : JVN#14077132
|
|
- [2022年07月04日]
掲載
- [2022年07月06日]
概要:内容を更新
CVSS による深刻度:内容を更新
想定される影響:内容を更新
CWEによる脆弱性タイプ一覧:内容を更新
|
