| タイトル | サイボウズ リモートサービスにおける複数の脆弱性 |
|---|---|
| 概要 | サイボウズ株式会社が提供するサイボウズ リモートサービスには、次の複数の脆弱性が存在します。 ・[CyVDB-525]管理画面に関するクロスサイトリクエストフォージェリの脆弱性 (CWE-352) - CVE-2021-20795 ・[CyVDB-1742]管理画面に関するパス・トラバーサルの脆弱性 (CWE-22) - CVE-2021-20796 ・[CyVDB-1806][Mozilla Firefox の現象]管理画面に関するクロスサイトスクリプトインクルージョンの脆弱性 (CWE-829) - CVE-2021-20797 ・[CyVDB-1808]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20798 ・[CyVDB-1809]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20799 ・[CyVDB-1810]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20800 ・[CyVDB-1811]XML 外部実体参照の脆弱性 (CWE-611) - CVE-2021-20801 ・[CyVDB-1814]HTTP ヘッダインジェクションの脆弱性 (CWE-113) - CVE-2021-20802 ・[CyVDB-1820]管理画面に関する操作制限回避の脆弱性 (CWE-264) - CVE-2021-20803 ・[CyVDB-1830]サービス運用妨害 (DoS) の脆弱性 (CWE-400) - CVE-2021-20804 ・[CyVDB-1862]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20805 ・[CyVDB-1968]オープンリダイレクトの脆弱性 (CWE-601) - CVE-2021-20806 ・[CyVDB-2028]管理画面に関するクロスサイトスクリプティングの脆弱性 (CWE-79) - CVE-2021-20807 CVE-2021-20795 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: 千田 雅明 氏 CVE-2021-20796、CVE-2021-20807 これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: 米山 俊嗣 (三井物産セキュアディレクション) 氏 CVE-2021-20805 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: 東内 裕二 氏 CVE-2021-20806 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 発見者: 株式会社イエラエセキュリティ 西谷 完太 氏 CVE-2021-20797、CVE-2021-20798、CVE-2021-20799、CVE-2021-20800、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804 これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました |
| 想定される影響 | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 ・[CyVDB-525]: 当該製品に管理者権限でログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる ・[CyVDB-1742]: 当該製品にログイン可能なユーザによって、任意のファイルをアップロードされる ・[CyVDB-1806]、[CyVDB-1811]: 当該製品にログイン可能なユーザによって、当該製品に保存された情報を窃取される ・[CyVDB-1808]、[CyVDB-1809]、[CyVDB-1810]、[CyVDB-1862]、[CyVDB-2028]: 当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される ・[CyVDB-1814]: 遠隔の第三者によって、当該製品の情報を改ざんされる ・[CyVDB-1820]: 当該製品にログイン可能なユーザによって、管理画面に関するデータを改ざんされる ・[CyVDB-1830]: 当該製品にログイン可能なユーザによって、サービス運用妨害 (DoS) 攻撃を受ける ・[CyVDB-1968]: 細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| 公表日 | 2021年9月30日0:00 |
| 登録日 | 2021年9月30日12:07 |
| 最終更新日 | 2021年9月30日12:07 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H |
| CVSS2.0 : 警告 | |
| スコア | 6.3 |
|---|---|
| ベクター | AV:N/AC:M/Au:S/C:N/I:N/A:C |
| サイボウズ |
| リモートサービス 3.0.0 から 3.1.9 まで(CVE-2021-20806、CVE-2021-20807) |
| リモートサービス 3.1.7 から 3.1.9 まで(CVE-2021-20805) |
| リモートサービス 3.1.8 から 3.1.9 まで(CVE-2021-20795、CVE-2021-20798、CVE-2021-20799、CVE-2021-20801、CVE-2021-20802、CVE-2021-20803、CVE-2021-20804) |
| リモートサービス 3.1.8(CVE-2021-20796、CVE-2021-20797、CVE-2021-20800) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年09月30日] 掲載 |
2021年9月29日16:37 |
| 概要 | Cross-site request forgery (CSRF) vulnerability in the management screen of Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote attacker to hijack the authentication of administrators and unintended operations may be performed via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Directory traversal vulnerability in the management screen of Cybozu Remote Service 3.1.8 allows a remote authenticated attacker to upload an arbitrary file via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Cross-site script inclusion vulnerability in the management screen of Cybozu Remote Service 3.1.8 allows a remote authenticated attacker to obtain the information stored in the product. This issue occurs only when using Mozilla Firefox. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to inject an arbitrary script via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to inject an arbitrary script via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.1.8 allows a remote authenticated attacker to inject an arbitrary script via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to conduct XML External Entity (XXE) attacks and obtain the information stored in the product via unspecified vectors. This issue occurs only when using Mozilla Firefox. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | HTTP header injection vulnerability in Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote attacker to alter the information stored in the product. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Operation restriction bypass in the management screen of Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to alter the data of the management screen. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Cybozu Remote Service 3.1.8 to 3.1.9 allows a remote authenticated attacker to cause a denial of service (DoS) condition via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:3.1.9:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:cybozu:remote_service_manager:3.1.8:*:*:*:*:*:*:* | |||||
| 概要 | Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.1.7 to 3.1.9 allows a remote authenticated attacker to inject an arbitrary script via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:*:*:*:*:*:*:*:* | 3.1.7 | 3.1.9 | |||
| 概要 | Open redirect vulnerability in Cybozu Remote Service 3.0.0 to 3.1.9 allows remote attackers to redirect users to arbitrary web sites and conduct phishing attacks via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:*:*:*:*:*:*:*:* | 3.0.0 | 3.1.9 | |||
| 概要 | Cross-site scripting vulnerability in the management screen of Cybozu Remote Service 3.0.0 to 3.1.9 allows a remote attacker to inject an arbitrary script via unspecified vectors. |
|---|---|
| 公表日 | 2021年10月13日18:15 |
| 登録日 | 2021年10月13日20:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:cybozu:remote_service_manager:*:*:*:*:*:*:*:* | 3.0.0 | 3.1.9 | |||