製品・ソフトウェアに関する情報
Vulnerability Search
GroupSession における複数の脆弱性
Title GroupSession における複数の脆弱性
Summary

日本トータルシステム株式会社が提供する GroupSession には、次の複数の脆弱性が存在します。 ・不適切なパーミッションの割り当て (CWE-732) - CVE-2021-20874 ・オープンリダイレクト (CWE-601) - CVE-2021-20875 ・ディレクトリトラバーサル (CWE-22) - CVE-2021-20876 CVE-2021-20874 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 志賀 拓馬 氏 CVE-2021-20875、CVE-2021-20876 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 荒牧 努 氏

Possible impacts 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 ・遠隔の第三者により、サーバ内の任意のファイルにアクセスされる。結果として、機微な情報を窃取される- CVE-2021-20874 ・細工されたページにアクセスすることで任意のウェブサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう - CVE-2021-20875 ・当該製品の管理者アカウントにログインされた時、サイトとして公開しているサーバ上のディレクトリより上位の階層に保存された機微な情報を窃取される - CVE-2021-20876
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date Dec. 20, 2021, midnight
Registration Date Dec. 20, 2021, 12:06 p.m.
Last Update Dec. 20, 2021, 12:06 p.m.
CVSS3.0 : 重要
Score 7.5
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
CVSS2.0 : 警告
Score 5
Vector AV:N/AC:L/Au:N/C:P/I:N/A:N
Affected System
日本トータルシステム株式会社
GroupSession byCloud ver5.1.1 およびそれ以前
GroupSession ZION ver5.1.1 およびそれ以前
GroupSession 無料版 ver5.1.1 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2021年12月20日]
  掲載		 Dec. 16, 2021, 3:46 p.m.
NVD Vulnerability Information
CVE-2021-20874
Summary

Incorrect permission assignment for critical resource vulnerability in GroupSession Free edition ver5.1.1 and earlier, GroupSession byCloud ver5.1.1 and earlier, and GroupSession ZION ver5.1.1 and earlier allows a remote unauthenticated attacker to access arbitrary files on the server and obtain sensitive information via unspecified vectors.

Publication Date Dec. 24, 2021, 4:15 p.m.
Registration Date Dec. 25, 2021, 10 a.m.
Last Update Nov. 21, 2024, 2:47 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:groupsession:groupsession:*:*:*:*:zion:*:*:* 5.1.1
cpe:2.3:a:groupsession:groupsession:*:*:*:*:cloud:*:*:* 5.1.1
cpe:2.3:a:groupsession:groupsession:*:*:*:*:free:*:*:* 5.1.1
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20875
Summary

Open redirect vulnerability in GroupSession Free edition ver5.1.1 and earlier, GroupSession byCloud ver5.1.1 and earlier, and GroupSession ZION ver5.1.1 and earlier allows a remote unauthenticated attacker to redirect users to arbitrary web sites and conduct phishing attacks by having a user to access a specially crafted URL.

Publication Date Dec. 24, 2021, 4:15 p.m.
Registration Date Dec. 25, 2021, 10 a.m.
Last Update Nov. 21, 2024, 2:47 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:groupsession:groupsession:*:*:*:*:zion:*:*:* 5.1.1
cpe:2.3:a:groupsession:groupsession:*:*:*:*:cloud:*:*:* 5.1.1
cpe:2.3:a:groupsession:groupsession:*:*:*:*:free:*:*:* 5.1.1
Related information, measures and tools
Common Vulnerabilities List
CVE-2021-20876
Summary

Path traversal vulnerability in GroupSession Free edition ver5.1.1 and earlier, GroupSession byCloud ver5.1.1 and earlier, and GroupSession ZION ver5.1.1 and earlier allows an attacker with an administrative privilege to obtain sensitive information stored in the hierarchy above the directory on the published site's server via unspecified vectors.

Publication Date Dec. 24, 2021, 4:15 p.m.
Registration Date Dec. 25, 2021, 10 a.m.
Last Update Nov. 21, 2024, 2:47 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:groupsession:groupsession:*:*:*:*:zion:*:*:* 5.1.1
cpe:2.3:a:groupsession:groupsession:*:*:*:*:cloud:*:*:* 5.1.1
cpe:2.3:a:groupsession:groupsession:*:*:*:*:free:*:*:* 5.1.1
Related information, measures and tools
Common Vulnerabilities List