アーカイブ
WeblyGo におけるクロスサイトスクリプティングの脆弱性
2011年6月27日 | 注意喚起
LAC Advisory No.105
Problem first discovered on: Fri, 27 Oct 2006
Published on: Mon, 27 Jun 2011
脅威度
中
概要
WeblyGo の特定のアプリケーションに、クロスサイトスクリプティングの脆弱性が存在します。攻撃者に利用された場合、ユーザのブラウザ上で不正なスクリプトが実行される可能性があります。
詳細
WeblyGo は、株式会社カワイビジネスソフトウエアが提供するグループウェアです。
WeblyGo の特定のアプリケーションには、ユーザからの入力値のエスケープ処理に不備が存在するため、クロスサイトスクリプティング攻撃が可能な脆弱性が存在します。
このため、攻撃者に悪用された場合、ユーザのブラウザ上で不正なスクリプトが実行され、さらなる攻撃に利用される可能性があります。
影響を受けるバージョン
WeblyGo V5.0 Pro/LE
WeblyGo V5.02 Pro/LE
WeblyGo V5.03 Pro/LE
WeblyGo V5.04 Pro/LE
WeblyGo V5.10 Pro/LE
対策
以下の Web サイトを参考に、WeblyGo V5.20 を入手しアップデートすることで、この脆弱性を解消することが可能です。
[重要] WeblyGo V5 脆弱性対応アップデート(V5.20)
http://www.kbs.co.jp/jp/tabid/254/Default.aspx
発見者
石川 芳浩 (ラック)
謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。
http://jvn.jp/jp/JVN43386477/index.html
http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000042.html