NVD脆弱性詳細

CVE-2020-5562

概要	Server-side request forgery (SSRF) vulnerability in Cybozu Garoon 4.6.0 to 4.6.3 allows a remote attacker with an administrative privilege to issue arbitrary HTTP requests to other web servers via V-CUBE Meeting function.
公表日	2020年4月28日13:15
登録日	2021年1月26日11:59
最終更新日	2024年11月21日14:34

CVSS3.1 : MEDIUM
スコア	4.9
ベクター	CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	高
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	高
可用性への影響(A)	なし

CVSS2.0 : MEDIUM
スコア	4.0
ベクター	AV:N/AC:L/Au:S/C:N/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	単一
機密性への影響(C)	なし
完全性への影響(I)	低
可用性への影響(A)	なし
全ての特権を取得	いいえ
ユーザー権限を取得	いいえ
その他の権限を取得	いいえ
ユーザー操作が必要	いいえ

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:cybozu:garoon::::::::		4.6.0	4.6.3

関連情報、対策とツール

No	URL	タグ
1	https://jvn.jp/en/jp/JVN58849431/index.html	Third Party Advisory
2	https://jvn.jp/en/jp/JVN58849431/index.html	Third Party Advisory
3	https://kb.cybozu.support/article/36304	Vendor Advisory
4	https://kb.cybozu.support/article/36304	Vendor Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-918	サーバサイドリクエストフォージェリ	https://cwe.mitre.org/data/definitions/918.html

JVN脆弱性情報

サイボウズ Garoon における複数の脆弱性

タイトル	サイボウズ Garoon における複数の脆弱性
概要	サイボウズ株式会社が提供するサイボウズ Garoon には、次の複数の脆弱性が存在します。・カスタマイズ項目機能の追加処理におけるクロスサイトスクリプティング (CWE-79) - CVE-2019-5928 ・アプリケーション「メモ」におけるクロスサイトスクリプティング (CWE-79) - CVE-2019-5929 ・アプリケーション「基本システムの管理」における閲覧制限回避 (CWE-264) - CVE-2019-5930 ・インストーラにおけるファイルパスの検証不備 (CWE-20) - CVE-2019-5931 ・アプリケーション「ポータル」における格納型のクロスサイトスクリプティング (CWE-79) - CVE-2019-5932 ・アプリケーション「掲示板」における閲覧制限回避 (CWE-284) - CVE-2019-5933 ・アプリケーション「ロギング」のログの検索機能における SQL インジェクション (CWE-89) - CVE-2019-5934 ・ユーザー情報の項目機能における操作制限回避 (CWE-264) - CVE-2019-5935 ・アプリケーション「ワークフロー」におけるディレクトリトラバーサル (CWE-22) - CVE-2019-5936 ・ユーザー情報におけるクロスサイトスクリプティング (CWE-79) - CVE-2019-5937 ・アプリケーション「メール」における格納型のクロスサイトスクリプティング (CWE-79) - CVE-2019-5938 ・アプリケーション「ポータル」におけるクロスサイトスクリプティング (CWE-79) - CVE-2019-5939 ・アプリケーション「スケジュール」におけるクロスサイトスクリプティング (CWE-79) - CVE-2019-5940 ・アプリケーション「マルチレポート」における操作制限回避 (CWE-264) - CVE-2019-5941 ・アプリケーション「ファイル管理」のまとめてダウンロードする機能における閲覧制限回避 (CWE-284) - CVE-2019-5942 ・アプリケーション「掲示板」およびアプリケーション「ファイル管理」における閲覧制限回避 (CWE-284) - CVE-2019-5943 ・アプリケーション「アドレス帳」における操作制限回避 (CWE-264) - CVE-2019-5944 ・サイボウズ Garoon の認証に関する情報漏えい (CWE-287) - CVE-2019-5945 ・ログイン画面におけるオープンリダイレクト (CWE-601) - CVE-2019-5946 ・アプリケーション「ファイル管理」におけるクロスサイトスクリプティング (CWE-79) - CVE-2019-5947 ・V-CUBEミーティング機能におけるサーバサイドリクエストフォージェリ (CWE-918) - CVE-2020-5562 CVE-2019-5928, CVE-2019-5930, CVE-2019-5931, CVE-2019-5932, CVE-2019-5935, CVE-2019-5936, CVE-2019-5942, CVE-2019-5947 これらの脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 CVE-2019-5929, CVE-2019-5937, CVE-2019-5938, CVE-2019-5939, CVE-2019-5940 これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: Masato Kinugawa 氏 CVE-2019-5933, CVE-2019-5941, CVE-2019-5946 これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 東内裕二氏 CVE-2019-5934, CVE-2019-5945 これらの脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 三井物産セキュアディレクション米山俊嗣氏 CVE-2019-5943 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: ixama 氏 CVE-2019-5944 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: Tanghaifeng 氏 CVE-2020-5562 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。発見者: 西谷完太氏
想定される影響	想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。・ユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2019-5929 ・当該製品にログインしているユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2019-5928, CVE-2019-5932, CVE-2019-5937, CVE-2019-5938, CVE-2019-5939, CVE-2019-5940, CVE-2019-5947 ・当該製品にログイン可能なユーザによって、閲覧権限のない情報を閲覧される - CVE-2019-5930, CVE-2019-5943 ・インストーラを実行している権限で、情報が改ざんされる - CVE-2019-5931 ・当該製品にログイン可能なユーザによって、閲覧権限のない掲示板が閲覧される - CVE-2019-5933 ・当該製品に管理者権限でアクセスできるユーザによって、任意の SQL コマンドを実行される - CVE-2019-5934 ・遠隔の第三者によって、アクセス権限のないユーザー情報を変更される - CVE-2019-5935 ・当該製品にログイン可能なユーザによって、アクセス権限のないファイルを取得される - CVE-2019-5936, CVE-2019-5942 ・当該製品にログイン可能なユーザによって、アクセス権限のないレポートを改ざんされる - CVE-2019-5941 ・当該製品にログイン可能なユーザによって、変更権限のないアドレス帳の情報を改ざんされる - CVE-2019-5944 ・当該製品にログイン可能なユーザの機密情報が漏えいする - CVE-2019-5945 ・細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる - CVE-2019-5946 ・当該製品に管理者権限でアクセスできるユーザによって、当該製品から他のウェブサーバに対して任意の HTTP リクエストが発行される - CVE-2020-5562
対策	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
公表日	2019年4月25日0:00
登録日	2019年4月25日12:15
最終更新日	2020年4月27日12:17

影響を受けるシステム

サイボウズ

サイボウズガルーン 4.0.0 から 4.10.0 まで(CVE-2019-5933 および CVE-2019-5934)

サイボウズガルーン 4.0.0 から 4.10.1 まで(CVE-2019-5935 から CVE-2019-5944)

サイボウズガルーン 4.0.0 から 4.6.3 まで(CVE-2019-5928 から CVE-2019-5931)

サイボウズガルーン 4.2.4 から 4.10.1 まで(CVE-2019-5945 および CVE-2019-5946)

サイボウズガルーン 4.6.0 から 4.10.1 まで(CVE-2019-5947)

サイボウズガルーン 4.6.0 から 4.6.3 まで(CVE-2019-5932 および CVE-2020-5562)

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-5562	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5562
National Vulnerability Database (NVD)
2	CVE-2019-5928	https://nvd.nist.gov/vuln/detail/CVE-2019-5928
3	CVE-2019-5929	https://nvd.nist.gov/vuln/detail/CVE-2019-5929
4	CVE-2019-5930	https://nvd.nist.gov/vuln/detail/CVE-2019-5930
5	CVE-2019-5931	https://nvd.nist.gov/vuln/detail/CVE-2019-5931
6	CVE-2019-5932	https://nvd.nist.gov/vuln/detail/CVE-2019-5932
7	CVE-2019-5933	https://nvd.nist.gov/vuln/detail/CVE-2019-5933
8	CVE-2019-5934	https://nvd.nist.gov/vuln/detail/CVE-2019-5934
9	CVE-2019-5935	https://nvd.nist.gov/vuln/detail/CVE-2019-5935
10	CVE-2019-5936	https://nvd.nist.gov/vuln/detail/CVE-2019-5936
11	CVE-2019-5937	https://nvd.nist.gov/vuln/detail/CVE-2019-5937
12	CVE-2019-5938	https://nvd.nist.gov/vuln/detail/CVE-2019-5938
13	CVE-2019-5939	https://nvd.nist.gov/vuln/detail/CVE-2019-5939
14	CVE-2019-5940	https://nvd.nist.gov/vuln/detail/CVE-2019-5940
15	CVE-2019-5941	https://nvd.nist.gov/vuln/detail/CVE-2019-5941
16	CVE-2019-5942	https://nvd.nist.gov/vuln/detail/CVE-2019-5942
17	CVE-2019-5943	https://nvd.nist.gov/vuln/detail/CVE-2019-5943
18	CVE-2019-5944	https://nvd.nist.gov/vuln/detail/CVE-2019-5944
19	CVE-2019-5945	https://nvd.nist.gov/vuln/detail/CVE-2019-5945
20	CVE-2019-5946	https://nvd.nist.gov/vuln/detail/CVE-2019-5946
21	CVE-2019-5947	https://nvd.nist.gov/vuln/detail/CVE-2019-5947

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-20	https://jvndb.jvn.jp/ja/cwe/CWE-20.html
2	CWE-200	https://jvndb.jvn.jp/ja/cwe/CWE-200.html
3	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html
4	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html
5	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html
6	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html
7	CWE-Other	https://www.ipa.go.jp/security/vuln/CWE.html#CWEOther

ベンダー情報

No	名前	URL
不具合情報公開サイト
1	[CyVDB-1182][Internet Explorer/Microsoft Edgeの現象]メモに関するクロスサイトスクリプティングの脆弱性	https://kb.cybozu.support/article/34277
2	[CyVDB-1475]ユーザー情報に関する操作制限回避の脆弱性	https://kb.cybozu.support/article/35497
3	[CyVDB-1691]ポータルに関するクロスサイトスクリプティングの脆弱性	https://kb.cybozu.support/article/34276
4	[CyVDB-1707][CyVDB-1726]ユーザー情報に関する閲覧制限回避の脆弱性	https://kb.cybozu.support/article/34227
5	[CyVDB-1737]掲示板に関する閲覧制限回避の脆弱性	https://kb.cybozu.support/article/35307
6	[CyVDB-1779]ワークフローに関するパス・トラバーサルの脆弱性	https://kb.cybozu.support/article/35484
7	[CyVDB-1784]ユーザー情報に関するクロスサイトスクリプティングの脆弱性	https://kb.cybozu.support/article/35493
8	[CyVDB-1786]メールに関するクロスサイトスクリプティングの脆弱性	https://kb.cybozu.support/article/35494
9	[CyVDB-1833]ポータルに関するクロスサイトスクリプティングの脆弱性	https://kb.cybozu.support/article/35495
10	[CyVDB-1840]スケジュールに関するクロスサイトスクリプティングの脆弱性	https://kb.cybozu.support/article/35490
11	[CyVDB-1843]マルチレポートに関する操作制限回避の脆弱性	https://kb.cybozu.support/article/35489
12	[CyVDB-1844]ファイル管理に関する閲覧制限回避の脆弱性	https://kb.cybozu.support/article/35485
13	[CyVDB-1845]認証に関する情報漏えいの脆弱性	https://kb.cybozu.support/article/35488
14	[CyVDB-1847]掲示板とファイル管理に関する閲覧制限回避の脆弱性	https://kb.cybozu.support/article/35486
15	[CyVDB-1848]アドレス帳に関する操作制限回避の脆弱性	https://kb.cybozu.support/article/35487
16	[CyVDB-1858]ファイル管理に関するクロスサイトスクリプティングの脆弱性	https://kb.cybozu.support/article/35496
17	[CyVDB-1870]インストーラーに関する不適切な入力確認の脆弱性	https://kb.cybozu.support/article/34283
18	[CyVDB-1872]ログの検索に関するSQLインジェクションの脆弱性	https://kb.cybozu.support/article/35306
19	[CyVDB-1958]V-CUBEミーティングに関するサーバーサイドリクエストフォージェリの脆弱性	https://kb.cybozu.support/article/36304
20	[CyVDB-1962]ログイン画面に関するOpen Redirectの脆弱性	https://kb.cybozu.support/article/35492
21	[CyVDB-864]追加処理に関するクロスサイトスクリプティングの脆弱性	https://kb.cybozu.support/article/34279

その他

No	名前	URL
JVN
1	JVN#58849431	https://jvn.jp/jp/JVN58849431/index.html

変更履歴

No	変更内容	変更日
1	[2019年04月25日] 掲載	2019年4月24日10:11
2	[2019年09月30日] 参考情報：National Vulnerability Database (NVD) (CVE-2019-5928) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5929) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5930) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5931) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5932) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5933) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5934) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5935) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5936) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5937) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5938) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5939) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5940) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5941) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5942) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5943) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5944) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5945) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5946) を追加参考情報：National Vulnerability Database (NVD) (CVE-2019-5947) を追加	2019年9月30日16:09
3	[2020年04月27日] 概要：内容を更新 CVSS による深刻度：内容を更新影響を受けるシステム：内容を更新想定される影響：内容を更新ベンダ情報：内容を更新 CWE による脆弱性タイプ一覧：内容を更新	2020年4月24日13:58