W Cybozu Garoon w wersjach 5.0.0 do 5.15.2 istnieje podatność typu cross-site scripting (XSS), która pozwala uwierzytelnionemu atakującemu z uprawnieniami administratora na wstrzyknięcie dowolnego skryptu w przeglądarce zalogowanego użytkownika. Mimo że wymagane są uprawnienia administracyjne, podatność jest oceniana jako krytyczna ze względu na wysoki wpływ na poufność, integralność i dostępność.
▸ Pokaż oryginał (EN)
Cross-site scripting vulnerability in Cybozu Garoon 5.0.0 to 5.15.2 allows a remote authenticated attacker with an administrative privilege to inject an arbitrary script on the web browser of the user who is logging in to the product.
Atakujący posiadający konto administratora w Cybozu Garoon może wstrzyknąć złośliwy skrypt, który zostanie wykonany w kontekście przeglądarki innego użytkownika aktualnie zalogowanego w systemie. Podatność wymaga interakcji po stronie ofiary (UI:R), co oznacza, że użytkownik musi wykonać określoną czynność lub odwiedzić odpowiednią stronę w aplikacji. Ze względu na zmianę zakresu (S:C), skutki mogą wykraczać poza samą aplikację Cybozu Garoon.
Skuteczne wykorzystanie podatności pozwala atakującemu na przejęcie sesji użytkownika, kradzież poufnych danych, wykonanie nieautoryzowanych działań w imieniu ofiary lub przeprowadzenie dalszych ataków w kontekście przeglądarki zaatakowanego użytkownika.
Należy zaktualizować Cybozu Garoon do wersji wyższej niż 5.15.2. Szczegółowe informacje o dostępnych patchach znajdują się w referencjach producenta: https://cs.cybozu.co.jp/2024/007901.html oraz https://jvn.jp/en/jp/JVN28869536/
Cybozu Garoon w wersjach od 5.0.0 do 5.15.2
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:HCybozu Garoon
APPCybozu5.5.0 – 6.0.0 (bez)
Powiązane podatności
Cybozu Garoon 4.2.4 to 4.10.1 allow remote attackers to obtain the users' credential information via the authe...
Cybozu Garoon before 4.2.2 allows remote attackers to bypass login authentication via vectors related to API u...
Operation restriction bypass in multiple applications of Cybozu Garoon 4.0.0 to 5.9.1 allows a remote authenti...
Operation restriction bypass vulnerability in Space of Cybozu Garoon 4.0.0 to 5.9.0 allows a remote authentica...
Cross-site request forgery (CSRF) vulnerability in Message of Cybozu Garoon 4.0.0 to 5.0.2 allows a remote aut...