「Cybozu Desktop」のWindows版に任意コード実行の脆弱性、修正版のv2.2.42が公開

サイボウズからのリリース

　サイボウズ（株）は5月22日、同社製グループウェア「Garoon」「サイボウズ Office」の新着情報をデスクトップへ通知するアプリ「Cybozu Desktop」のWindows版に脆弱性が存在することを明らかにした。最新版のv2.2.42で修正されているという。

　同社によると、Windows版「Cybozu Desktop」v2.0.23からv2.2.40には入力確認が不適切な脆弱性（CVE-2020-5537）があり、任意のコードを実行される可能性があるという。本脆弱性の深刻度は、“CVSS v3”の基本値で“8.3”。

　脆弱性情報のポータルサイト“JVN”によると、この脆弱性はバージョン更新時のデータ処理が適切に行われない問題に起因するという（JVN#59552136）。中間者攻撃（man-in-the-middle attack）や“Subdomain takeover”などの手法により、脆弱性が悪用される危険があるため、早めのアップデートを推奨する。