JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は7月4日、「JVN#14077132: サイボウズ Garoon に複数の脆弱性」において、サイボウズが提供しているグループウェア「Garoon」に複数の脆弱性が報告され、同社が対策を施した最新版をリリースしたと伝えた。
これらの脆弱性を悪用されると、攻撃者によって影響を受けたシステムでファイル情報の改竄やファイルの削除、権限の無い情報の閲覧、サービス運用妨害(DoS)攻撃などが行われる危険性がある。該当する脆弱性に関する情報は、サイボウズによる次の告知ページにまとめられている。
脆弱性の影響を受ける製品およびバージョンは次のとおり。
- サイボウズ Garoon 4.0.0 から 5.9.1 まで
上記の製品には、次に挙げる脆弱性が存在するという。
- CVE-2022-30602: ログイン可能なユーザーによって、ファイル情報を改竄されたり、ファイルを削除されたりする
- CVE-2022-29512: ログイン可能なユーザーによって、本来閲覧権限のないデータを確認される
- CVE-2022-29926: ログイン可能なユーザーによって、サービス運用妨害 (DoS) 攻撃を受ける
- CVE-2022-30943: ログイン可能なユーザーによって、掲示板に関するデータを取得される
サイボウズ Garoon 5.9 Service Pack 2以降のバージョンにアップデートすることで、これらの脆弱性の影響を回避することができる。JPCERT/CCは開発者の提供する情報に基づいて、アップデートを適用することを推奨している。