014-009123

パッケージ版 サイボウズ Office

関心あり
0人の方が関心を示しています。

[CyVDB-1008]特定の機能を経由して、任意のドメインにCSRFチケットを転送できてしまう。

種別
脆弱性
機能
  • ネット連携サービス
再現バージョン
  • 9.0.0
  • 9.1.0
  • 9.2.0
  • 9.2.1
  • 9.3.0
  • 9.3.1
  • 9.3.2
  • 9.3.3
  • 10.0.0
  • 10.0.1
  • 10.0.2
  • 10.1.0
  • 10.1.2
  • 10.2.0
  • 10.3.0
改修バージョン
10.4.0
公開日
2015-12-07
更新日
2015-12-07

特定の機能を経由して、任意のドメインにCSRFチケットを転送できてしまう脆弱性です。

攻撃者がこの脆弱性を利用すると、漏えいしたCSRFチケットを利用して、更なる攻撃に利用される可能性があります。


【回避方法】

 

次のバージョンの製品で本現象を改修しています。バージョンアップを検討してください。

  • バージョン 10.4.0のサイボウズ Office

関連記事