| Summary | Cybozu Garoon 3.x through 3.7.5 and 4.x through 4.0.3 mishandles authentication requests, which allows remote authenticated users to conduct LDAP injection attacks, and consequently bypass intended login restrictions or obtain sensitive information, by leveraging certain group-administration privileges. |
|---|---|
| Publication Date | Oct. 9, 2015, 5:59 a.m. |
| Registration Date | Jan. 26, 2021, 2:53 p.m. |
| Last Update | Nov. 21, 2024, 11:33 a.m. |
| CVSS2.0 : HIGH | |
| Score | 7.0 |
|---|---|
| Vector | AV:N/AC:M/Au:S/C:C/I:P/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 単一 |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 低 |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | いいえ |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:cybozu:garoon:3.7:sp2:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.0.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.5.5:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:4.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.5.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:4.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.7.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.5.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.0.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.5.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.0.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.5.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.7:sp1:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.1.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.0.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.7.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.1.2:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.7.3:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.7:sp3:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:garoon:3.5.4:*:*:*:*:*:*:* | |||||
| Title | サイボウズ ガルーンにおける LDAP インジェクションの脆弱性 |
|---|---|
| Summary | サイボウズ株式会社が提供するサイボウズ ガルーンは、グループウェアです。サイボウズ ガルーンには、ログイン認証に起因する LDAP インジェクションの脆弱性が存在します。 |
| Possible impacts | 特定のグループに対するユーザ管理権限を委譲されたユーザによって、当該製品に不正にログインされたり、認証サーバの情報が漏えいしたりする可能性があります。 |
| Solution | [パッチを適用する] 開発者が提供する情報をもとに、対応するパッチを適用してください。 [2016年6月2日追記] [アップデートする] 開発者から、本脆弱性を修正したサイボウズ ガルーン 4.2.0 がリリースされています。 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| Publication Date | Oct. 7, 2015, midnight |
| Registration Date | Oct. 7, 2015, 12:03 p.m. |
| Last Update | June 2, 2016, 7:12 p.m. |
| サイボウズ |
| サイボウズ ガルーン 3.0.0 から 4.0.3 まで |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2015年10月07日] 掲載 [2015年10月13日] 参考情報:National Vulnerability Database (NVD) (CVE-2015-5649) を追加 [2016年06月02日] 対策:内容を更新 |
Feb. 17, 2018, 10:37 a.m. |