JVNDB-2018-000054

サイボウズ メールワイズにおける複数のクロスサイトスクリプティングの脆弱性

サイボウズ株式会社が提供するサイボウズ メールワイズには、次に挙げる複数のクロスサイトスクリプティングの脆弱性が存在します。
・「メールの詳細画面」に格納型クロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2018-0557
・「システム設定」に関する反射型クロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2018-0558
・「アドレス帳」に関する反射型クロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2018-0559

この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
発見者: Masato Kinugawa 氏

サイボウズ

• サイボウズ メールワイズ 5.0.0 から 5.4.1 まで

当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。

[アップデートする]
開発者が提供する情報をもとに、最新版へアップデートしてください。

サイボウズ

• 不具合情報公開サイト : [CyVDB-1308]メールに関するクロスサイトスクリプティングの脆弱性
• 不具合情報公開サイト : [CyVDB-1525]システム設定に関するクロスサイトスクリプティングの脆弱性
• 不具合情報公開サイト : [CyVDB-1527][CyVDB-1533]アドレス帳に関するクロスサイトスクリプティングの脆弱性

1. クロスサイトスクリプティング(CWE-79) [IPA評価]

1. CVE-2018-0557
2. CVE-2018-0558
3. CVE-2018-0559

1. JVN : JVN#52319657
2. National Vulnerability Database (NVD) : CVE-2018-0557
3. National Vulnerability Database (NVD) : CVE-2018-0558
4. National Vulnerability Database (NVD) : CVE-2018-0559

• [2018年05月22日]
    掲載
• [2018年08月30日]
    参考情報：National Vulnerability Database (NVD) (CVE-2018-0557) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2018-0558) を追加
    参考情報：National Vulnerability Database (NVD) (CVE-2018-0559) を追加