JVNDB-2021-000088

[English]
JVNDB-2021-000088
サイボウズリモートサービスにおける複数の脆弱性
概要
サイボウズ株式会社が提供するサイボウズリモートサービスには、次の複数の脆弱性が存在します。・[CyVDB-525]管理画面に関するクロスサイトリクエストフォージェリの脆弱性 (CWE-352) - CVE-2021-20795 ・[CyVDB-1742]管理画面に関するパス・トラバーサルの脆弱性 (CWE-22) - CVE-2021-20796 ・[CyVDB-1806][Mozilla Firefox の現象]管理画面に関するクロスサイトスクリプトインクルージョンの脆弱性 (CWE-829) - CVE-2021-20797 ・[CyVDB-1808]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20798 ・[CyVDB-1809]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20799 ・[CyVDB-1810]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20800 ・[CyVDB-1811]XML 外部実体参照の脆弱性 (CWE-611) - CVE-2021-20801 ・[CyVDB-1814]HTTP ヘッダインジェクションの脆弱性 (CWE-113) - CVE-2021-20802 ・[CyVDB-1820]管理画面に関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20803 ・[CyVDB-1830]サービス運用妨害 (DoS) の脆弱性 (CWE-400) - CVE-2021-20804 ・[CyVDB-1862]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20805 ・[CyVDB-1968]オープンリダイレクトの脆弱性 (CWE-601) - CVE-2021-20806 ・[CyVDB-2028]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20807 ・[CyVDB-877]「利用端末データの読み込み」機能におけるパス・トラバーサルの脆弱性 (CWE-22) - CVE-2022-26838 CVE-2021-20795 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 千田雅明氏 CVE-2021-20796、CVE-2021-20807 これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 米山俊嗣 (三井物産セキュアディレクション) 氏 CVE-2021-20805 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 東内裕二氏 CVE-2021-20806 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 株式会社イエラエセキュリティ西谷完太氏 CVE-2021-20797、CVE-2021-20798、CVE-2021-20799、CVE-2021-20800、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804、CVE-2022-26838 これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 高 CVSS v2 による深刻度基本値: 6.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 全面的 ※上記は、CVE-2021-20804の評価になります。
CVSS v3 による深刻度基本値: 6.5 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 高可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021- 20795の評価になります。
CVSS v3 による深刻度基本値: 4.2 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): 低 CVSS v2 による深刻度基本値: 4.9 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): 部分的 ※上記は、CVE-2021-20796の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.1 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20797の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 3.5 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20798の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 3.5 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20799の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 3.5 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20800の評価になります。
CVSS v3 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし CVSS v2 による深刻度基本値: 4.0 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2021-20801の評価になります。
CVSS v3 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20802の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): 低 CVSS v2 による深刻度基本値: 5.5 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): 部分的 ※上記は、CVE-2021-20803の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 3.5 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20805の評価になります。
CVSS v3 による深刻度基本値: 3.4 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20806の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20807の評価になります。
CVSS v3 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 低 CVSS v2 による深刻度基本値: 4.0 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的 ※上記は、CVE-2022-26838の評価になります。
影響を受けるシステム

サイボウズリモートサービス 3.1.8 から 3.1.9 まで(CVE-2021-20795、CVE-2021-20798、CVE-2021-20799、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804) リモートサービス 3.1.8(CVE-2021-20796、CVE-2021-20797、CVE-2021-20800) リモートサービス 3.1.7 から 3.1.9 まで(CVE-2021-20805) リモートサービス 3.0.0 から 3.1.9 まで(CVE-2021-20806、CVE-2021-20807) リモートサービス 3.1.2(CVE-2022-26838)

想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。・[CyVDB-525]: 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる・[CyVDB-1742]: 当該製品にログイン可能なユーザによって、任意のファイルをアップロードされる・[CyVDB-1806]、[CyVDB-1811]: 当該製品にログイン可能なユーザによって、当該製品に保存された情報を窃取される・[CyVDB-1808]、[CyVDB-1809]、[CyVDB-1810]、[CyVDB-1862]、[CyVDB-2028]: 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される・[CyVDB-1814]: 遠隔の第三者によって、当該製品の情報を改ざんされる・[CyVDB-1820]: 当該製品にログイン可能なユーザによって、管理画面に関するデータを改ざんされる・[CyVDB-1830]、[CyVDB-877]: 当該製品にログイン可能なユーザによって、サービス運用妨害 (DoS) 攻撃を受ける・[CyVDB-1968]: 細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報
サイボウズサイボウズ : サイボウズリモートサービス 4 脆弱性に関するお知らせ
CWEによる脆弱性タイプ一覧 CWEとは?
パス・トラバーサル(CWE-22) [IPA評価] クロスサイトスクリプティング(CWE-79) [IPA評価] 認可・権限・アクセス制御(CWE-264) [IPA評価] リソースの枯渇(CWE-400) [IPA評価] クロスサイトリクエストフォージェリ(CWE-352) [IPA評価] その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2021-20795 CVE-2021-20796 CVE-2021-20797 CVE-2021-20798 CVE-2021-20799 CVE-2021-20800 CVE-2021-20801 CVE-2021-20802 CVE-2021-20803 CVE-2021-20804 CVE-2021-20805 CVE-2021-20806 CVE-2021-20807 CVE-2022-26838
参考情報
JVN : JVN#52694228 National Vulnerability Database (NVD) : CVE-2021-20795 National Vulnerability Database (NVD) : CVE-2021-20796 National Vulnerability Database (NVD) : CVE-2021-20797 National Vulnerability Database (NVD) : CVE-2021-20798 National Vulnerability Database (NVD) : CVE-2021-20799 National Vulnerability Database (NVD) : CVE-2021-20800 National Vulnerability Database (NVD) : CVE-2021-20801 National Vulnerability Database (NVD) : CVE-2021-20802 National Vulnerability Database (NVD) : CVE-2021-20803 National Vulnerability Database (NVD) : CVE-2021-20804 National Vulnerability Database (NVD) : CVE-2021-20805 National Vulnerability Database (NVD) : CVE-2021-20806 National Vulnerability Database (NVD) : CVE-2021-20807 National Vulnerability Database (NVD) : CVE-2022-26838
更新履歴
[2021年09月30日] 掲載 [2022年04月25日] 概要:内容を更新影響を受けるシステム:内容を更新想定される影響:内容を更新参考情報:内容を更新 [2024年04月08日] 参考情報：National Vulnerability Database (NVD) (CVE-2021-20795) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20796) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20797) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20798) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20799) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20800) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20801) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20802) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20803) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20804) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20805) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20806) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20807) を追加参考情報：National Vulnerability Database (NVD) (CVE-2022-26838) を追加


公表日	2021/09/30
登録日	2021/09/30
最終更新日	2024/04/08

[English]
JVNDB-2021-000088
サイボウズリモートサービスにおける複数の脆弱性
概要
サイボウズ株式会社が提供するサイボウズリモートサービスには、次の複数の脆弱性が存在します。・[CyVDB-525]管理画面に関するクロスサイトリクエストフォージェリの脆弱性 (CWE-352) - CVE-2021-20795 ・[CyVDB-1742]管理画面に関するパス・トラバーサルの脆弱性 (CWE-22) - CVE-2021-20796 ・[CyVDB-1806][Mozilla Firefox の現象]管理画面に関するクロスサイトスクリプトインクルージョンの脆弱性 (CWE-829) - CVE-2021-20797 ・[CyVDB-1808]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20798 ・[CyVDB-1809]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20799 ・[CyVDB-1810]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20800 ・[CyVDB-1811]XML 外部実体参照の脆弱性 (CWE-611) - CVE-2021-20801 ・[CyVDB-1814]HTTP ヘッダインジェクションの脆弱性 (CWE-113) - CVE-2021-20802 ・[CyVDB-1820]管理画面に関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20803 ・[CyVDB-1830]サービス運用妨害 (DoS) の脆弱性 (CWE-400) - CVE-2021-20804 ・[CyVDB-1862]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20805 ・[CyVDB-1968]オープンリダイレクトの脆弱性 (CWE-601) - CVE-2021-20806 ・[CyVDB-2028]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20807 ・[CyVDB-877]「利用端末データの読み込み」機能におけるパス・トラバーサルの脆弱性 (CWE-22) - CVE-2022-26838 CVE-2021-20795 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 千田雅明氏 CVE-2021-20796、CVE-2021-20807 これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 米山俊嗣 (三井物産セキュアディレクション) 氏 CVE-2021-20805 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 東内裕二氏 CVE-2021-20806 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 株式会社イエラエセキュリティ西谷完太氏 CVE-2021-20797、CVE-2021-20798、CVE-2021-20799、CVE-2021-20800、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804、CVE-2022-26838 これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました
CVSS による深刻度 (CVSS とは?)
CVSS v3 による深刻度基本値: 5.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 高 CVSS v2 による深刻度基本値: 6.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 全面的 ※上記は、CVE-2021-20804の評価になります。
CVSS v3 による深刻度基本値: 6.5 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 高可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021- 20795の評価になります。
CVSS v3 による深刻度基本値: 4.2 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): 低 CVSS v2 による深刻度基本値: 4.9 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): 部分的 ※上記は、CVE-2021-20796の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.1 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20797の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 3.5 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20798の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 3.5 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20799の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 3.5 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20800の評価になります。
CVSS v3 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): 低完全性への影響(I): なし可用性への影響(A): なし CVSS v2 による深刻度基本値: 4.0 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): 部分的完全性への影響(I): なし可用性への影響(A): なし ※上記は、CVE-2021-20801の評価になります。
CVSS v3 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20802の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): 低 CVSS v2 による深刻度基本値: 5.5 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): 部分的 ※上記は、CVE-2021-20803の評価になります。
CVSS v3 による深刻度基本値: 5.4 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 3.5 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 中攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20805の評価になります。
CVSS v3 による深刻度基本値: 3.4 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): なし完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20806の評価になります。
CVSS v3 による深刻度基本値: 6.1 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 不要利用者の関与: 要影響の想定範囲: 変更あり機密性への影響(C): 低完全性への影響(I): 低可用性への影響(A): なし CVSS v2 による深刻度基本値: 2.6 (注意) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 高攻撃前の認証要否: 不要機密性への影響(C): なし完全性への影響(I): 部分的可用性への影響(A): なし ※上記は、CVE-2021-20807の評価になります。
CVSS v3 による深刻度基本値: 4.3 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃に必要な特権レベル: 低利用者の関与: 不要影響の想定範囲: 変更なし機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 低 CVSS v2 による深刻度基本値: 4.0 (警告) [IPA値] 攻撃元区分: ネットワーク攻撃条件の複雑さ: 低攻撃前の認証要否: 単一機密性への影響(C): なし完全性への影響(I): なし可用性への影響(A): 部分的 ※上記は、CVE-2022-26838の評価になります。
影響を受けるシステム

サイボウズリモートサービス 3.1.8 から 3.1.9 まで(CVE-2021-20795、CVE-2021-20798、CVE-2021-20799、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804) リモートサービス 3.1.8(CVE-2021-20796、CVE-2021-20797、CVE-2021-20800) リモートサービス 3.1.7 から 3.1.9 まで(CVE-2021-20805) リモートサービス 3.0.0 から 3.1.9 まで(CVE-2021-20806、CVE-2021-20807) リモートサービス 3.1.2(CVE-2022-26838)

想定される影響
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。・[CyVDB-525]: 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる・[CyVDB-1742]: 当該製品にログイン可能なユーザによって、任意のファイルをアップロードされる・[CyVDB-1806]、[CyVDB-1811]: 当該製品にログイン可能なユーザによって、当該製品に保存された情報を窃取される・[CyVDB-1808]、[CyVDB-1809]、[CyVDB-1810]、[CyVDB-1862]、[CyVDB-2028]: 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される・[CyVDB-1814]: 遠隔の第三者によって、当該製品の情報を改ざんされる・[CyVDB-1820]: 当該製品にログイン可能なユーザによって、管理画面に関するデータを改ざんされる・[CyVDB-1830]、[CyVDB-877]: 当該製品にログイン可能なユーザによって、サービス運用妨害 (DoS) 攻撃を受ける・[CyVDB-1968]: 細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる
対策
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
ベンダ情報
サイボウズサイボウズ : サイボウズリモートサービス 4 脆弱性に関するお知らせ
CWEによる脆弱性タイプ一覧 CWEとは?
パス・トラバーサル(CWE-22) [IPA評価] クロスサイトスクリプティング(CWE-79) [IPA評価] 認可・権限・アクセス制御(CWE-264) [IPA評価] リソースの枯渇(CWE-400) [IPA評価] クロスサイトリクエストフォージェリ(CWE-352) [IPA評価] その他(CWE-Other) [IPA評価]
共通脆弱性識別子(CVE) CVEとは?
CVE-2021-20795 CVE-2021-20796 CVE-2021-20797 CVE-2021-20798 CVE-2021-20799 CVE-2021-20800 CVE-2021-20801 CVE-2021-20802 CVE-2021-20803 CVE-2021-20804 CVE-2021-20805 CVE-2021-20806 CVE-2021-20807 CVE-2022-26838
参考情報
JVN : JVN#52694228 National Vulnerability Database (NVD) : CVE-2021-20795 National Vulnerability Database (NVD) : CVE-2021-20796 National Vulnerability Database (NVD) : CVE-2021-20797 National Vulnerability Database (NVD) : CVE-2021-20798 National Vulnerability Database (NVD) : CVE-2021-20799 National Vulnerability Database (NVD) : CVE-2021-20800 National Vulnerability Database (NVD) : CVE-2021-20801 National Vulnerability Database (NVD) : CVE-2021-20802 National Vulnerability Database (NVD) : CVE-2021-20803 National Vulnerability Database (NVD) : CVE-2021-20804 National Vulnerability Database (NVD) : CVE-2021-20805 National Vulnerability Database (NVD) : CVE-2021-20806 National Vulnerability Database (NVD) : CVE-2021-20807 National Vulnerability Database (NVD) : CVE-2022-26838
更新履歴
[2021年09月30日] 掲載 [2022年04月25日] 概要:内容を更新影響を受けるシステム:内容を更新想定される影響:内容を更新参考情報:内容を更新 [2024年04月08日] 参考情報：National Vulnerability Database (NVD) (CVE-2021-20795) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20796) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20797) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20798) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20799) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20800) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20801) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20802) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20803) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20804) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20805) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20806) を追加参考情報：National Vulnerability Database (NVD) (CVE-2021-20807) を追加参考情報：National Vulnerability Database (NVD) (CVE-2022-26838) を追加

サイボウズ リモートサービスにおける複数の脆弱性

サイボウズリモートサービスにおける複数の脆弱性