サイボウズ リモートサービスにおける複数の脆弱性
| Title |
サイボウズ リモートサービスにおける複数の脆弱性
|
| Summary |
サイボウズ株式会社が提供するサイボウズ リモートサービスには、次の複数の脆弱性が存在します。 ・[CyVDB-525]管理画面に関するクロスサイトリクエストフォージェリの脆弱性 (CWE-352) - CVE-2021-20795 ・[CyVDB-1742]管理画面に関するパス・トラバーサルの脆弱性 (CWE-22) - CVE-2021-20796 ・[CyVDB-1806][Mozilla Firefox の現象]管理画面に関するクロスサイトスクリプトインクルージョンの脆弱性 (CWE-829) - CVE-2021-20797 ・[CyVDB-1808]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20798 ・[CyVDB-1809]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20799 ・[CyVDB-1810]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20800 ・[CyVDB-1811]XML 外部実体参照の脆弱性 (CWE-611) - CVE-2021-20801 ・[CyVDB-1814]HTTP ヘッダインジェクションの脆弱性 (CWE-113) - CVE-2021-20802 ・[CyVDB-1820]管理画面に関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20803 ・[CyVDB-1830]サービス運用妨害 (DoS) の脆弱性 (CWE-400) - CVE-2021-20804 ・[CyVDB-1862]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20805 ・[CyVDB-1968]オープンリダイレクトの脆弱性 (CWE-601) - CVE-2021-20806 ・[CyVDB-2028]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20807 CVE-2021-20795 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: 千田 雅明 氏 CVE-2021-20796、CVE-2021-20807 これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: 米山 俊嗣 (三井物産セキュアディレクション) 氏 CVE-2021-20805 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: 東内 裕二 氏 CVE-2021-20806 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: 株式会社イエラエセキュリティ 西谷 完太 氏 CVE-2021-20797、CVE-2021-20798、CVE-2021-20799、CVE-2021-20800、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804 これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました
|
| Possible impacts |
想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 ・[CyVDB-525]: 当該製品に管理者権限でログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる ・[CyVDB-1742]: 当該製品にログイン可能なユーザによって、任意のファイルをアップロードされる ・[CyVDB-1806]、[CyVDB-1811]: 当該製品にログイン可能なユーザによって、当該製品に保存された情報を窃取される ・[CyVDB-1808]、[CyVDB-1809]、[CyVDB-1810]、[CyVDB-1862]、[CyVDB-2028]: 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される ・[CyVDB-1814]: 遠隔の第三者によって、当該製品の情報を改ざんされる ・[CyVDB-1820]: 当該製品にログイン可能なユーザによって、管理画面に関するデータを改ざんされる ・[CyVDB-1830]: 当該製品にログイン可能なユーザによって、サービス運用妨害 (DoS) 攻撃を受ける ・[CyVDB-1968]: 細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる |
| Solution |
[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| Publication Date |
Sept. 30, 2021, midnight |
| Registration Date |
Sept. 30, 2021, 12:07 p.m. |
| Last Update |
Sept. 30, 2021, 12:07 p.m. |
|
CVSS3.0 : 警告
|
| Score |
5.3
|
| Vector |
CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H |
|
CVSS2.0 : 警告
|
| Score |
6.3
|
| Vector |
AV:N/AC:M/Au:S/C:N/I:N/A:C |
Affected System
| サイボウズ |
|
リモートサービス 3.0.0 から 3.1.9 まで(CVE-2021-20806、CVE-2021-20807)
|
|
リモートサービス 3.1.7 から 3.1.9 まで(CVE-2021-20805)
|
|
リモートサービス 3.1.8 から 3.1.9 まで(CVE-2021-20795、CVE-2021-20798、CVE-2021-20799、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804)
|
|
リモートサービス 3.1.8(CVE-2021-20796、CVE-2021-20797、CVE-2021-20800)
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2021年09月30日]
掲載 |
Sept. 29, 2021, 4:37 p.m. |
NVD Vulnerability Information
CVE-2021-20795
| Summary |
Cross-site request forgery (CSRF) vulnerability in the management screen of Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote attacker to hijack the authentication of administrators and unintended operations may be performed via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20796
| Summary |
Directory traversal vulnerability in the management screen of Cybozu Remote Service 3.1.8 allows a remote authenticated attacker to upload an arbitrary file via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20797
| Summary |
Cross-site script inclusion vulnerability in the management screen of Cybozu Remote Service 3.1.8 allows a remote authenticated attacker to obtain the information stored in the product. This issue occurs only when using Mozilla Firefox.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20798
| Summary |
Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to inject an arbitrary script via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20799
| Summary |
Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to inject an arbitrary script via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20800
| Summary |
Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.1.8 allows a remote authenticated attacker to inject an arbitrary script via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20801
| Summary |
Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to conduct XML External Entity (XXE) attacks and obtain the information stored in the product via unspecified vectors. This issue occurs only when using Mozilla Firefox.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20802
| Summary |
HTTP header injection vulnerability in Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote attacker to alter the information stored in the product.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20803
| Summary |
Operation restriction bypass in the management screen of Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to alter the data of the management screen.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20804
| Summary |
Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to cause a denial of service (DoS) condition via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* |
|
|
|
|
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* |
|
|
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20805
| Summary |
Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.1.7 to 3.1.9 allows a remote authenticated attacker to inject an arbitrary script via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:*:*:*:*:*:*:*:* |
3.1.7 |
3.1.9 |
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20806
| Summary |
Open redirect vulnerability in Cybozu Remote Service 3.0.0 to 3.1.9 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:*:*:*:*:*:*:*:* |
3.0.0 |
3.1.9 |
|
|
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20807
| Summary |
Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.0.0 to 3.1.9 allows a remote attacker to inject an arbitrary script via unspecified vectors.
|
| Publication Date |
Oct. 13, 2021, 6:15 p.m. |
| Registration Date |
Oct. 13, 2021, 8 p.m. |
| Last Update |
Nov. 21, 2024, 2:47 p.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:cybozu:remote_service_manager:*:*:*:*:*:*:*:* |
3.0.0 |
3.1.9 |
|
|
Related information, measures and tools
Common Vulnerabilities List