|
[English]
|
JVNDB-2020-000053
|
CyberMail における複数の脆弱性
|
|
サイバーソリューションズ株式会社が提供する CyberMail には、次の複数の脆弱性が存在します。
・クロスサイトスクリプティング (CWE-79) - CVE-2020-5540
・オープンリダイレクト (CWE-601) - CVE-2020-5541
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 中華資安国際 郭榮智 氏、謝佳龍 氏
|
|
CVSS v3 による深刻度
基本値: 6.1 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): なし
CVSS v2 による深刻度
基本値: 4.3 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 中
- 攻撃前の認証要否: 不要
- 機密性への影響(C): なし
- 完全性への影響(I): 部分的
- 可用性への影響(A): なし
※上記は、CVE-2020-5540の評価になります。
|
CVSS v3 による深刻度
基本値:
4.7 (警告) [IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 低
-
攻撃に必要な特権レベル: 不要
-
利用者の関与: 要
-
影響の想定範囲: 変更あり
-
機密性への影響(C): なし
-
完全性への影響(I): 低
-
可用性への影響(A): なし
CVSS v2 による深刻度基本値:
4.3 (警告)
[IPA値]
-
攻撃元区分: ネットワーク
-
攻撃条件の複雑さ: 中
-
攻撃前の認証要否: 不要
-
機密性への影響(C): なし
-
完全性への影響(I): 部分的
-
可用性への影響(A): なし
※上記は、CVE-2020-5541の評価になります。
|
|
|
サイバーソリューションズ
- CyberMail Ver.6 系
- CyberMail Ver.7 系
|
|
|
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・当該製品を使用しているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2020-5540
・細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる。結果として、フィッシングなどの被害にあう - CVE-2020-5541
|
|
[パッチを適用する]
開発者が提供する情報をもとに、パッチを適用してください。
開発者は、本脆弱性の対策として CyberMail Ver.7 系向けに次のパッチをリリースしています。なお、CyberMail Ver.6 系はサポート終了 (EOS) のため、CyberMail Ver.6 系向けのパッチがリリースされる予定はないとのことです。
・hotfix_cmv7sp3_200616
[ワークアラウンドを実施する]
本脆弱性の影響を軽減する回避策については、開発者から提供されているサポートドキュメント「FAQ#: 1000985 CVE-2020-5540,CVE-2020-5541 CyberMail における複数の脆弱性(JVN#46258789)」(要ログイン) を参照してください。
|
|
サイバーソリューションズ
|
|
- クロスサイトスクリプティング(CWE-79) [IPA評価]
- 不適切な入力確認(CWE-20) [IPA評価]
|
|
- CVE-2020-5540
- CVE-2020-5541
|
|
- JVN : JVN#46258789
- National Vulnerability Database (NVD) : CVE-2020-5540
- National Vulnerability Database (NVD) : CVE-2020-5541
|
|
|
