ニュース

無料で始められる国産グループウェア「GroupSession」複数の脆弱性 ~JVNが注意喚起

修正版であるv5.1.0へのアップデートを

「JVN」の脆弱性レポート(JVN#42164352)

 脆弱性対策情報ポータルサイト「JVN」は7月25日、日本トータルシステム(株)が提供するグループウェア「GroupSession」に複数の脆弱性が存在すると発表した。

 「JVN」の脆弱性レポート(JVN#86026700)によると、「GroupSession」には以下の問題が存在する。最悪の場合、任意のスクリプト実行、設定の意図しない変更、内部情報の詐取、フィッシングなどに悪用される可能性がある。

  • CVE-2021-20785:クロスサイトスクリプティング(CVSS v3:6.1)
  • CVE-2021-20786:クロスサイトリクエストフォージェリ(CVSS v3:4.3)
  • CVE-2021-20787:クロスサイトスクリプティング (CVSS v3:6.1)
  • CVE-2021-20788:サーバサイドリクエストフォージェリ(CVSS v3:5.0)
  • CVE-2021-20789:オープンリダイレクト(CVSS v3:4.7)

 影響する製品とそのバージョンは以下の通り。修正版であるv5.1.0へのアップデートすれば、問題は解消される。

  • GroupSession 無料版 ver2.2.0 から ver5.1.0 より前のバージョン
  • GroupSession byCloud ver3.0.3 から ver5.1.0 より前のバージョン
  • GroupSession ZION ver3.0.3 から ver5.1.0 より前のバージョン

 「GroupSession」は、Javaで開発されたオープンソースのグループウェア。スケジュール・施設予約・掲示板・ファイル管理・稟議・Webメールなどの機能を備えており、社内のサーバーへ設置またはクラウドサービスとして利用可能。サーバーへ設置する場合はユーザー数に関わらず無償で利用できるため、気軽に導入できる。