Headline
CVE-2021-20876
Path traversal vulnerability in GroupSession Free edition ver5.1.1 and earlier, GroupSession byCloud ver5.1.1 and earlier, and GroupSession ZION ver5.1.1 and earlier allows an attacker with an administrative privilege to obtain sensitive information stored in the hierarchy above the directory on the published site’s server via unspecified vectors.
当社製品をご愛顧いただきまして、誠にありがとうございます。
GroupSessionに以下脆弱性が判明いたしました。
最新版GroupSessionへのバージョンアップをご検討いただけますようお願い申し上げます。
お客様に大変ご迷惑をおかけしますことを深くお詫び申し上げます。何卒ご理解とご協力を賜りますようお願い申し上げます。
影響範囲
GroupSession 無料版 ver5.1.1 およびそれ以前
GroupSession byCloud ver5.1.1 およびそれ以前
GroupSession ZION ver5.1.1 およびそれ以前
脆弱性の説明
概要情報
脆弱性がもたらす脅威
不適切なパーミッションの割り当て (CWE-732)
遠隔の第三者により、サーバ内の任意のファイルにアクセスされる。結果として、機微な情報を窃取される。
オープンリダイレクト (CWE-601)
細⼯されたページにアクセスすることで任意のウェブサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう。
ディレクトリトラバーサル (CWE-22)
管理者アカウントにログインされた時、サイトとして公開しているサーバ上のディレクトリより上位の階層に保存された機微な情報を窃取される。
**
対処方法**
ver5.1.3以降へバージョンアップをしてください。
GroupSession ver5.1.3ダウンロード(無料版)
※byCloudはすでに対応済みです。
※5.1.2でも本脆弱性には対応されておりますが、Apache Log4jの脆弱性(CVE-2021-44228)が含まれてますので
v5.1.3にアップデートしてください。
**注意
**対象機能、再現手順は攻撃につながる恐れがあるため、公開はしていません。
お問い合わせ窓口
GroupSessionサポート
メールアドレス:[email protected]
受付時間:9:00 – 18:00
参考情報
JVN#79798166