ニュース

「Cybozu Desktop」のWindows版に任意コード実行の脆弱性、修正版のv2.2.42が公開

「Garoon」「サイボウズ Office」の新着情報をデスクトップへ通知するアプリ

サイボウズからのリリース

 サイボウズ(株)は5月22日、同社製グループウェア「Garoon」「サイボウズ Office」の新着情報をデスクトップへ通知するアプリ「Cybozu Desktop」のWindows版に脆弱性が存在することを明らかにした。最新版のv2.2.42で修正されているという。

 同社によると、Windows版「Cybozu Desktop」v2.0.23からv2.2.40には入力確認が不適切な脆弱性(CVE-2020-5537)があり、任意のコードを実行される可能性があるという。本脆弱性の深刻度は、“CVSS v3”の基本値で“8.3”。

 脆弱性情報のポータルサイト“JVN”によると、この脆弱性はバージョン更新時のデータ処理が適切に行われない問題に起因するという(JVN#59552136)。中間者攻撃(man-in-the-middle attack)や“Subdomain takeover”などの手法により、脆弱性が悪用される危険があるため、早めのアップデートを推奨する。

ソフトウェア情報

「Cybozu Desktop」Windows版
【著作権者】
サイボウズ(株)
【対応OS】
Windows 7/8/8.1/10
【ソフト種別】
フリーソフト
【バージョン】
2.2.42(20/05/25)