IPA(情報処理推進機構)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は2月8日、「『サイボウズ ガルーン』におけるクロスサイト・スクリプティングの脆弱性」 「『サイボウズ ガルーン』における SQL インジェクションの脆弱性」を、それぞれJVN (Japan Vulnerability Notes)において公表した。
「サイボウズ ガルーン」は、サイボウズが提供するグループウェアで、2件の脆弱性情報は、2012年10月9日に IPA が届出を受け、JPCERT/CCが、製品開発者と調整を行い、公表された。
「クロスサイトスクリプティングの脆弱性」において、影響を受けるシステムはサイボウズ ガルーン バージョン 2.0.0 から 3.5.3 まで。想定される影響はユーザのウェブブラウザ上で、任意のスクリプトが実行される可能性がある。
「SQL インジェクションの脆弱性」において、影響を受けるシステムはサイボウズ ガルーン バージョン 2.5.0 から 3.5.3 まで。想定される影響はロギングの権限を持つユーザによって、当該製品で管理している情報を閲覧される可能性がある。
いずれも、対策方法はアップデートすることとなっている。
