無料のグループウェア「GroupSession」に複数の脆弱性が ～情報詐取・改ざんなどの恐れ存在

グループウェア「GroupSession」に複数の脆弱性が存在

　脆弱性対策情報ポータルサイト「JVN」は12月8日、日本トータルシステム（株）が提供する、グループウェア「GroupSession」に複数の脆弱性が存在すると発表した。

　「JVN」の脆弱性レポート（JVN#19940619）が発表した脆弱性および想定される影響は以下の通り（カッコ内はCVSS v4.0による深刻度）。細工されたページやURLにアクセスした場合、任意のスクリプトの実行や意図しない操作が行われたり、当該製品にログインした攻撃者による情報の詐取・改ざんなどといった悪用の恐れがある。

• CVE-2025-53523：格納型クロスサイトスクリプティング（CVSS v4：4.8）
• CVE-2025-54407：格納型クロスサイトスクリプティング（CVSS v4：5.1）
• CVE-2025-57883：反射型クロスサイトスクリプティング（CVSS v4：5.1）
• CVE-2025-58576：クロスサイトリクエストフォージェリ（CVSS v4：5.1）
• CVE-2025-61950：ユーザ識別情報操作による権限チェック回避（CVSS v4：5.3）
• CVE-2025-61987：WebSocketにおけるオリジン検証不備（CVSS v4：6.9）
• CVE-2025-62192：SQLインジェクション（CVSS v4：5.3）
• CVE-2025-64781：（安全ではない初期設定（CVSS v4：5.1）
• CVE-2025-65120：反射型クロスサイトスクリプティング（CVSS v4：5.1）
• CVE-2025-66284：格納型クロスサイトスクリプティング（CVSS v4：4.8）

　影響する製品とそのバージョンは以下の通り。

CVE-2025-53523、CVE-2025-54407、CVE-2025-57883、CVE-2025-58576、CVE-2025-61950、CVE-2025-61987、CVE-2025-62192

• GroupSession 無料版 ver5.3.0より前のバージョン
• GroupSession byCloud ver5.3.3より前のバージョン
• GroupSession ZION ver5.3.2より前のバージョン

CVE-2025-64781、CVE-2025-65120、CVE-2025-66284

• GroupSession 無料版 ver5.7.1より前のバージョン
• GroupSession byCloud ver5.7.1より前のバージョン
• GroupSession ZION ver5.7.1より前のバージョン

　いずれの問題も 日本トータルシステムでは、最新版の「GroupSession」で対応済み。日本トータルシステムは を用意しており、最新版へバージョンアップするよう呼びかけている（「GroupSession byCloud」は既に対応済み）。

　「GroupSession」は、Javaで開発されたオープンソースの国産グループウェア。スケジュール・施設予約・掲示板・ファイル管理・稟議・Webメールなどの機能を備えており、社内のサーバーへ設置またはクラウドサービスとして利用可能。サーバーへ設置する場合はユーザー数にかかわらず無償で利用できるため、気軽に導入できる。