| タイトル | GroupSession における複数の脆弱性 |
|---|---|
| 概要 | 日本トータルシステム株式会社が提供する GroupSession には、次の複数の脆弱性が存在します。 ・不適切なパーミッションの割り当て (CWE-732) - CVE-2021-20874 ・オープンリダイレクト (CWE-601) - CVE-2021-20875 ・ディレクトリトラバーサル (CWE-22) - CVE-2021-20876 CVE-2021-20874 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 志賀 拓馬 氏 CVE-2021-20875、CVE-2021-20876 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 三井物産セキュアディレクション株式会社 荒牧 努 氏 |
| 想定される影響 | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 ・遠隔の第三者により、サーバ内の任意のファイルにアクセスされる。結果として、機微な情報を窃取される- CVE-2021-20874 ・細工されたページにアクセスすることで任意のウェブサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう - CVE-2021-20875 ・当該製品の管理者アカウントにログインされた時、サイトとして公開しているサーバ上のディレクトリより上位の階層に保存された機微な情報を窃取される - CVE-2021-20876 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| 公表日 | 2021年12月20日0:00 |
| 登録日 | 2021年12月20日12:06 |
| 最終更新日 | 2021年12月20日12:06 |
| CVSS3.0 : 重要 | |
| スコア | 7.5 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
| CVSS2.0 : 警告 | |
| スコア | 5 |
|---|---|
| ベクター | AV:N/AC:L/Au:N/C:P/I:N/A:N |
| 日本トータルシステム株式会社 |
| GroupSession byCloud ver5.1.1 およびそれ以前 |
| GroupSession ZION ver5.1.1 およびそれ以前 |
| GroupSession 無料版 ver5.1.1 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年12月20日] 掲載 |
2021年12月16日15:46 |
| 概要 | Incorrect permission assignment for critical resource vulnerability in GroupSession Free edition ver5.1.1 and earlier, GroupSession byCloud ver5.1.1 and earlier, and GroupSession ZION ver5.1.1 and earlier allows a remote unauthenticated attacker to access arbitrary files on the server and obtain sensitive information via unspecified vectors. |
|---|---|
| 公表日 | 2021年12月24日16:15 |
| 登録日 | 2021年12月25日10:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:zion:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:cloud:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:free:*:*:* | 5.1.1 | ||||
| 概要 | Open redirect vulnerability in GroupSession Free edition ver5.1.1 and earlier, GroupSession byCloud ver5.1.1 and earlier, and GroupSession ZION ver5.1.1 and earlier allows a remote unauthenticated attacker to redirect users to arbitrary web sites and conduct phishing attacks by having a user to access a specially crafted URL. |
|---|---|
| 公表日 | 2021年12月24日16:15 |
| 登録日 | 2021年12月25日10:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:zion:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:cloud:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:free:*:*:* | 5.1.1 | ||||
| 概要 | Path traversal vulnerability in GroupSession Free edition ver5.1.1 and earlier, GroupSession byCloud ver5.1.1 and earlier, and GroupSession ZION ver5.1.1 and earlier allows an attacker with an administrative privilege to obtain sensitive information stored in the hierarchy above the directory on the published site's server via unspecified vectors. |
|---|---|
| 公表日 | 2021年12月24日16:15 |
| 登録日 | 2021年12月25日10:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:zion:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:cloud:*:*:* | 5.1.1 | ||||
| cpe:2.3:a:groupsession:groupsession:*:*:*:*:free:*:*:* | 5.1.1 | ||||