プロジェクト管理ソフト「Bitrix24」に複数の脆弱性

カレンダーやチャット、ミーティング、ファイル共有、ウェブメールなどの機能を備えたプロジェクト管理ソフト「Bitrix24」に複数の深刻な脆弱性が明らかとなった。

現地時間11月1日にシンガポールのセキュリティベンダーであるSTAR Labsが、脆弱性8件についてセキュリティアドバイザリを公表したもの。いずれもアドバイザリ執筆時点で最新版だった「同22.0.300」にて影響が確認されている。

重要度が4段階中もっとも高い「クリティカル（Critical）」とされる脆弱性は4件。クロスサイトスクリプティング（XSS）によりプロトタイプ汚染が生じる脆弱性「CVE-2023-1717」、細工したHTMLファイルをアップロードできる脆弱性「CVE-2023-1720」が判明した。

さらにクロスサイトスクリプティング（XSS）に対するサニタイズ機能をバイパスできる脆弱性「CVE-2023-1715」、請求書編集ページにおけるクロスサイトスクリプティング（XSS）の脆弱性「CVE-2023-1716」なども明らかとなっている。

STAR Labsでは、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「CVE-2023-1717」と「CVE-2023-1720」については「9.6」、「CVE-2023-1715」「CVE-2023-1716」を「9.0」と評価した。

（Security NEXT - 2023/11/07 ）ツイート