CVE-2023-41150: F-RevoCRM version7.3系の脆弱性と対応について

平素よりF-RevoCRMをご利用いただき誠にありがとうございます。
この度、F-RevoCRM version7.3系において脆弱性が発見されました。
それに伴い本日リリースのF-RevoCRM 7.3.9 にて脆弱性を修正しましたのでお知らせ致します。

脆弱性1　　・F-RevoCRM version7.3.7 および version7.3.8
　脆弱性2　　・F-RevoCRM version7.3.8 までのすべての7.3系

概要

脆弱性1
　　・F-RevoCRMの稼働OSに対して任意のコマンドが実行可能
　脆弱性2
　　・F-RevoCRMでクロスサイトスクリプティング（悪意のあるスクリプトの実行）が可能

影響

脆弱性1
　　・本脆弱性によりOSに対して深刻なダメージやデータの漏洩の恐れがあります。
　脆弱性2
　　・本脆弱性により意図しないスクリプトの埋め込みにより情報の搾取などが行われる可能性があります。

以下、CVSS v3を基準とした影響度です。

・深刻度　緊急
　　　脆弱性1
　　　　CVSS v3 基本値：9.8　　CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H:9.8
　　　脆弱性2
　　　　該当なし

・深刻度　重要
　　　脆弱性1
　　　　該当なし
　　　脆弱性2
　　　　該当なし

・深刻度　警告
　　　脆弱性1
　　　　該当なし

脆弱性2
　　　　CVSS v3 基本値：5.4　　CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N:5.4
　　・深刻度　注意
　　　脆弱性1
　　　　該当なし
　　　脆弱性2
　　　　該当なし

回避方法

脆弱性1
　　以下のディレクトリを削除してください。
　　「docker」
　脆弱性2
　　F-RevoCRMにログインした状態のみ本脆弱性は有効となります。
　　そのため、信頼性が低い外部サイトを参照する場合などはF-RevoCRMからログアウトした状態にしておく、
　　あるいは別のブラウザを利用していただくことで回避することが可能です。
　　また、Proxyサーバなどで不適切なサイトへのアクセスを制限することも影響を軽減することが期待できます。

対策

F-RevoCRM version7.3.9 までのアップデートを実施してください。
上記2件の脆弱性に対して修正がされております。バージョンアップ、パッチの適用方法についてはF-RevoCRM公式サイトか、GitHubのREADME.mdをご確認ください。

また、当社シンキングリードのサポート契約を締結されているお客様に対しましては
個別のパッチ適用が完了しておりますのでご安心いただければと存じます。

連絡先　ー脆弱性連絡窓口ー