無料で設置できるグループウェア「GroupSession」に複数の脆弱性 ～JVNが注意喚起

「JVN」の脆弱性レポート（JVN#79798166）

　脆弱性対策情報ポータルサイト「JVN」は12月20日、日本トータルシステム（株）が提供する、グループウェア「GroupSession」に複数の脆弱性が存在すると発表した。

　「JVN」の脆弱性レポート（JVN#79798166）によると、「GroupSession」には以下の問題が存在する。これらにより、サーバ内の任意のファイルにアクセスされることによる機微な情報の窃取、任意のウェブサイトにリダイレクトされることによるフィッシングなどの被害、管理者アカウントにログインされることによるサーバ上の上位ディレクトリに保存された機微な情報の窃取などの悪用をされる可能性がある。

• CVE-2021-20874：不適切なパーミッションの割り当て（CVSS v3：7.5）
• CVE-2021-20875：オープンリダイレクト（CVSS v3：4.7）
• CVE-2021-20876：ディレクトリトラバーサル（CVSS v3：4.9）

　影響する製品とそのバージョンは以下の通り。修正版であるv5.1.3以降へアップデートすれば、問題は解消される。

• GroupSession 無料版 ver5.1.1 以前のバージョン
• GroupSession byCloud ver5.1.1 以前のバージョン
• GroupSession ZION ver5.1.1 以前のバージョン

　なお、v5.1.2でもこれらの脆弱性は修正されているが、「Apache Log4j」の脆弱性「CVE-2021-44228」（通称：Log4Shell）への対処が含まれているため、v5.1.3以降へのアップデートが推奨されている。

　「GroupSession」は、Javaで開発されたオープンソースの国産グループウェア。スケジュール・施設予約・掲示板・ファイル管理・稟議・Webメールなどの機能を備えており、社内のサーバーへ設置またはクラウドサービスとして利用可能。サーバーへ設置する場合はユーザー数に関わらず無償で利用できるため、気軽に導入できる。