サイボウズの複数製品にクロスサイトスクリプティングの脆弱性が含まれていることが判明した。情報処理推進機構(IPA)とJPCERTコーディネーションセンターでは、運用する脆弱性データベース「JVN」において注意を喚起している。
「サイボウズOffice7」「同デヂエ6」「同メールワイズ3」など旧製品にクロスサイトスクリプティングの脆弱性が含まれ、ユーザーのブラウザ上で任意のスクリプトが実行されるおそれがあることが判明したもの。2007年12月に判明した脆弱性とは異なる。
サイボウズでは脆弱性が含まれない最新版を提供しており、契約期間中のユーザーは無償でバージョンアップできるとして対応を呼びかけている。
今回の脆弱性は、三井物産セキュアディレクションの寺田健氏がIPAへ報告、JPCERT/CCが開発者と調整した。
クロスサイトスクリプティングの脆弱性【CY09-10-001】
http://cybozu.co.jp/products/dl/notice/detail/0033.html
サイボウズ
http://cybozu.co.jp/
(Security NEXT - 2009/10/19 )
ツイート
PR
関連記事
サイボウズの複数製品に脆弱性 - 登録済み携帯電話になりすまされるおそれ
サイボウズ製品に複数の脆弱性 - アップデートの適用を
サイボウズ製品にXSSなどの複数の脆弱性 - アップデートで解消
サイボウズの複数製品に脆弱性 - SQLインジェクションなどの可能性も
