JVNDB-2025-000113

[English]
JVNDB-2025-000113
GroupSessionにおける複数の脆弱性
概要
日本トータルシステム株式会社が提供するGroupSessionには、次の複数の脆弱性が存在します。格納型クロスサイトスクリプティング（CWE-79）- CVE-2025-53523 格納型クロスサイトスクリプティング（CWE-79）- CVE-2025-54407 反射型クロスサイトスクリプティング（CWE-79）- CVE-2025-57883 クロスサイトリクエストフォージェリ（CWE-352）- CVE-2025-58576 ユーザ識別情報操作による権限チェック回避（CWE-639）- CVE-2025-61950 WebSocketにおけるオリジン検証不備（CWE-1385）- CVE-2025-61987 SQLインジェクション（CWE-89）- CVE-2025-62192 安全ではない初期設定（CWE-1188）- CVE-2025-64781 反射型クロスサイトスクリプティング（CWE-79）- CVE-2025-65120 格納型クロスサイトスクリプティング（CWE-79）- CVE-2025-66284 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 CVE-2025-53523 報告者：GMOサイバーセキュリティ byイエラエ株式会社井餘田笙悟氏　　　　　三井物産セキュアディレクション株式会社望月岳氏、荒牧努氏　　　　　古川菜摘氏 CVE-2025-54407 報告者：三井物産セキュアディレクション株式会社米山俊嗣氏 CVE-2025-57883 報告者：三井物産セキュアディレクション株式会社露木拓巳氏　　　　　佐藤竜氏 CVE-2025-58576 報告者：三井物産セキュアディレクション株式会社露木拓巳氏、山本健太氏、望月岳氏　　　　　GMOサイバーセキュリティ byイエラエ株式会社井餘田笙悟氏 CVE-2025-61950 報告者：三井物産セキュアディレクション株式会社荒牧努氏 CVE-2025-61987 報告者：三井物産セキュアディレクション株式会社望月岳氏 CVE-2025-62192 報告者：三井物産セキュアディレクション株式会社望月岳氏、荒牧努氏 CVE-2025-64781 報告者：佐藤竜氏 CVE-2025-65120 報告者：GMOサイバーセキュリティ byイエラエ株式会社石井健太郎氏　　　　　株式会社ブロードバンドセキュリティ志賀拓馬氏 CVE-2025-66284 報告者：GMOサイバーセキュリティ byイエラエ株式会社石井健太郎氏　　　　　榎田小次郎氏
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし
CVSS v4 による深刻度基本値: 5.1 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 不要利用者の関与 (UI): 能動脆弱なシステムへの影響機密性の影響 (VC): なし完全性の影響 (VI): なし可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): 低完全性への影響 (SI): 低可用性への影響 (SA): なし ※上記は、CVE-2025-54407の評価になります。
CVSS v3 による深刻度基本値: 6.1(警告) [IPA値] 攻撃元区分 : ネットワーク攻撃の複雑さ : 低攻撃に必要な特権レベル : 不要利用者の関与 : 必要影響の想定範囲 : 変更あり機密性への影響 : 低完全性への影響 : 低可用性への影響 : なし CVSS v4 による深刻度基本値: 5.1 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 不要利用者の関与 (UI): 能動脆弱なシステムへの影響機密性の影響 (VC): なし完全性の影響 (VI): なし可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): 低完全性への影響 (SI): 低可用性への影響 (SA): なし ※上記は、CVE-2025-57883、CVE-2025-65120の評価になります。
CVSS v3 による深刻度基本値: 5.4(警告) [IPA値] 攻撃元区分 : ネットワーク攻撃の複雑さ : 低攻撃に必要な特権レベル : 低利用者の関与 : 必要影響の想定範囲 : 変更あり機密性への影響 : 低完全性への影響 : 低可用性への影響 : なし CVSS v4 による深刻度基本値: 4.8 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 低利用者の関与 (UI): 能動脆弱なシステムへの影響機密性の影響 (VC): なし完全性の影響 (VI): なし可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): 低完全性への影響 (SI): 低可用性への影響 (SA): なし ※上記は、CVE-2025-53523、CVE-2025-66284の評価になります。
CVSS v3 による深刻度基本値: 5.4(警告) [IPA値] 攻撃元区分 : ネットワーク攻撃の複雑さ : 低攻撃に必要な特権レベル : 低利用者の関与 : 不要影響の想定範囲 : 変更なし機密性への影響 : 低完全性への影響 : 低可用性への影響 : なし CVSS v4 による深刻度基本値: 5.3 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 低利用者の関与 (UI): なし脆弱なシステムへの影響機密性の影響 (VC): 低完全性の影響 (VI): 低可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): なし完全性への影響 (SI): なし可用性への影響 (SA): なし ※上記は、CVE-2025-62192の評価になります。
CVSS v3 による深刻度基本値: 5.3(警告) [IPA値] 攻撃元区分 : ネットワーク攻撃の複雑さ : 低攻撃に必要な特権レベル : 不要利用者の関与 : なし影響の想定範囲 : 変更なし機密性への影響 : 低完全性への影響 : なし可用性への影響 : なし CVSS v4 による深刻度基本値: 6.9 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 不要利用者の関与 (UI): なし脆弱なシステムへの影響機密性の影響 (VC): 低完全性の影響 (VI): なし可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): なし完全性への影響 (SI): なし可用性への影響 (SA): なし ※上記は、CVE-2025-61987の評価になります。
CVSS v3 による深刻度基本値: 4.7(警告) [IPA値] 攻撃元区分 : ネットワーク攻撃の複雑さ : 低攻撃に必要な特権レベル : 不要利用者の関与 : 必要影響の想定範囲 : 変更あり機密性への影響 : なし完全性への影響 : 低可用性への影響 : なし CVSS v4 による深刻度基本値: 5.1 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 不要利用者の関与 (UI): 能動脆弱なシステムへの影響機密性の影響 (VC): なし完全性の影響 (VI): 低可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): なし完全性への影響 (SI): なし可用性への影響 (SA): なし「外部ページ表示制限設定」が初期値の"制限しない"のままの場合、本脆弱性の影響を受けます ※上記は、CVE-2025-64781の評価になります。
CVSS v3 による深刻度基本値: 4.3(警告) [IPA値] 攻撃元区分 : ネットワーク攻撃の複雑さ : 低攻撃に必要な特権レベル : 不要利用者の関与 : 必要影響の想定範囲 : 変更なし機密性への影響 : なし完全性への影響 : 低可用性への影響 : なし CVSS v4 による深刻度基本値: 5.1 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 不要利用者の関与 (UI): 能動脆弱なシステムへの影響機密性の影響 (VC): なし完全性の影響 (VI): 低可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): なし完全性への影響 (SI): なし可用性への影響 (SA): なし ※上記は、CVE-2025-58576の評価になります。
CVSS v3 による深刻度基本値: 4.3(警告) [IPA値] 攻撃元区分 : ネットワーク攻撃の複雑さ : 低攻撃に必要な特権レベル : 低利用者の関与 : 不要影響の想定範囲 : 変更なし機密性への影響 : なし完全性への影響 : 低可用性への影響 : なし CVSS v4 による深刻度基本値: 5.3 (警告) [IPA値] 攻撃元区分 (AV): ネットワーク攻撃の複雑さ (AC): 低攻撃要件 (AT): なし攻撃に必要な特権レベル (PR): 低利用者の関与 (UI): なし脆弱なシステムへの影響機密性の影響 (VC): なし完全性の影響 (VI): 低可用性への影響 (VA): なし後続システムへの影響機密性への影響 (SC): なし完全性への影響 (SI): なし可用性への影響 (SA): なし ※上記は、CVE-2025-61950の評価になります。
影響を受けるシステム

日本トータルシステム株式会社 GroupSession 無料版 ver5.3.0より前のバージョン（CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-58576、CVE-2025-61950、CVE-2025-61987、CVE-2025-62192） GroupSession byCloud ver5.3.3より前のバージョン（CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-58576、CVE-2025-61950、CVE-2025-61987、CVE-2025-62192） GroupSession ZION ver5.3.2より前のバージョン（CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-58576、CVE-2025-61950、CVE-2025-61987、CVE-2025-62192） GroupSession 無料版 ver5.7.1より前のバージョン（CVE-2025-64781、CVE-2025-65120、CVE-2025-66284） GroupSession byCloud ver5.7.1より前のバージョン（CVE-2025-64781、CVE-2025-65120、CVE-2025-66284） GroupSession ZION ver5.7.1より前のバージョン（CVE-2025-64781、CVE-2025-65120、CVE-2025-66284）

想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。細工されたページやURLにアクセスした場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される（CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-65120、CVE-2025-66284）細工されたページにアクセスした場合、意図していない操作をさせられる（CVE-2025-58576）当該製品にログインしたユーザによって、回覧板のメモを改ざんされる（CVE-2025-61950）細工されたページにアクセスした場合、ユーザ宛に送信されたチャットの情報が漏えいする（CVE-2025-61987）当該製品にログインしたユーザによって、データベース内の情報を取得されたり改ざんされたりする（CVE-2025-62192）細工されたURLにアクセスすることで、任意のウェブサイトにリダイレクトされる（CVE-2025-64781）
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報
日本トータルシステム株式会社 JVN : 日本トータルシステム株式会社からの情報日本トータルシステム株式会社 : 日本トータルシステム株式会社の告知ページ
CWEによる脆弱性タイプ一覧 CWEとは?
クロスサイトスクリプティング(CWE-79) [IPA評価] SQLインジェクション(CWE-89) [IPA評価] クロスサイトリクエストフォージェリ(CWE-352) [IPA評価] その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2025-53523 CVE-2025-54407 CVE-2025-57883 CVE-2025-58576 CVE-2025-61950 CVE-2025-61987 CVE-2025-62192 CVE-2025-64781 CVE-2025-65120 CVE-2025-66284
参考情報
JVN : JVN#19940619
更新履歴
[2025年12月08日] 掲載


公表日	2025/12/08
登録日	2025/12/08
最終更新日	2025/12/08

GroupSessionにおける複数の脆弱性