Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サイボウズの旧バージョンにXSSの脆弱性 - 最新版へアップグレードを

サイボウズの複数製品にクロスサイトスクリプティングの脆弱性が含まれていることが判明した。情報処理推進機構(IPA)とJPCERTコーディネーションセンターでは、運用する脆弱性データベース「JVN」において注意を喚起している。

「サイボウズOffice7」「同デヂエ6」「同メールワイズ3」など旧製品にクロスサイトスクリプティングの脆弱性が含まれ、ユーザーのブラウザ上で任意のスクリプトが実行されるおそれがあることが判明したもの。2007年12月に判明した脆弱性とは異なる。

サイボウズでは脆弱性が含まれない最新版を提供しており、契約期間中のユーザーは無償でバージョンアップできるとして対応を呼びかけている。

今回の脆弱性は、三井物産セキュアディレクションの寺田健氏がIPAへ報告、JPCERT/CCが開発者と調整した。

クロスサイトスクリプティングの脆弱性【CY09-10-001】
http://cybozu.co.jp/products/dl/notice/detail/0033.html

サイボウズ
http://cybozu.co.jp/

(Security NEXT - 2009/10/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

3年ぶりのバグハンター合宿で脆弱性36件を発見 - サイボウズ
「サイボウズ KUNAI for Android」のログ機能に脆弱性
「サイボウズガルーン」にSQLiなど7件の脆弱性 - 修正版へ更新を
サイボウズの「リモートサービスマネージャー」に脆弱性
「kintone mobile for Android」に脆弱性 - 中間者攻撃受けるおそれ
「サイボウズガルーン」にSQLiやXSSなど複数の脆弱性 - 修正版が公開
「サイボウズ ガルーン」、2月公開のSP1で脆弱性10件に対処
スマートフォンアプリ「サイボウズ KUNAI」に脆弱性 - 修正版が公開
Android向け「kintone」に複数の脆弱性
「サイボウズガルーン」に複数の脆弱性 - 修正パッチが公開