LAC WATCH

セキュリティとITの最新情報

RSS

注意喚起 | 

WeblyGo におけるクロスサイトスクリプティングの脆弱性

LAC Advisory No.105

Problem first discovered on: Fri, 27 Oct 2006
Published on: Mon, 27 Jun 2011

脅威度

概要

WeblyGo の特定のアプリケーションに、クロスサイトスクリプティングの脆弱性が存在します。攻撃者に利用された場合、ユーザのブラウザ上で不正なスクリプトが実行される可能性があります。

詳細

WeblyGo は、株式会社カワイビジネスソフトウエアが提供するグループウェアです。
WeblyGo の特定のアプリケーションには、ユーザからの入力値のエスケープ処理に不備が存在するため、クロスサイトスクリプティング攻撃が可能な脆弱性が存在します。
このため、攻撃者に悪用された場合、ユーザのブラウザ上で不正なスクリプトが実行され、さらなる攻撃に利用される可能性があります。

影響を受けるバージョン

WeblyGo V5.0 Pro/LE
WeblyGo V5.02 Pro/LE
WeblyGo V5.03 Pro/LE
WeblyGo V5.04 Pro/LE
WeblyGo V5.10 Pro/LE

対策

以下の Web サイトを参考に、WeblyGo V5.20 を入手しアップデートすることで、この脆弱性を解消することが可能です。

[重要] WeblyGo V5 脆弱性対応アップデート(V5.20)

http://www.kbs.co.jp/jp/tabid/254/Default.aspx

発見者

石川 芳浩 (ラック)


謝辞:
本問題は、情報処理推進機構(IPA) および JPCERT/CC による『情報システム等の脆弱性関連情報の届出制度』に従い届出を行いました。

http://jvn.jp/jp/JVN43386477/index.html

http://jvndb.jvn.jp/ja/contents/2011/JVNDB-2011-000042.html

この記事は役に立ちましたか?

はい いいえ