製品・ソフトウェアに関する情報

JVN脆弱性詳細

サイボウズ Office のカスタムアプリ機能に関するクロスサイトスクリプティングの脆弱性

Title	サイボウズ Office のカスタムアプリ機能に関するクロスサイトスクリプティングの脆弱性
Summary	サイボウズ株式会社が提供するサイボウズ Office には、クロスサイトスクリプティングの脆弱性が存在します。この脆弱性情報は、製品利用者への周知を目的に、開発者が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。
Possible impacts	当該製品にログインしているユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。
Publication Date	Oct. 3, 2016, midnight
Registration Date	Oct. 3, 2016, 12:04 p.m.
Last Update	April 24, 2017, 3:12 p.m.

Affected System

サイボウズ

サイボウズ Office 9.0.0 から 10.4.0 まで

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2016-4865	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-4865
National Vulnerability Database (NVD)
2	CVE-2016-4865	https://nvd.nist.gov/vuln/detail/CVE-2016-4865

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
サイボウズからのお知らせ
1	サイボウズ Office 10 脆弱性に関するお知らせ	https://cs.cybozu.co.jp/2016/006267.html
不具合情報公開サイト
2	[CyVDB-770]カスタムアプリに関するクロスサイトスクリプティングの脆弱性	https://support.cybozu.com/ja-jp/article/9430

その他

No	Name	URL
JVN
1	JVN#06726266	https://jvn.jp/jp/JVN06726266/index.html

Change Log

No	Changed Details	Date of change
0	[2016年10月03日] 掲載 [2017年04月24日] 参考情報：National Vulnerability Database (NVD) (CVE-2016-4865) を追加	Feb. 17, 2018, 10:37 a.m.

NVD Vulnerability Information

CVE-2016-4865

Summary	Cross-site scripting vulnerability in Cybozu Office 9.0.0 to 10.4.0 allows attackers with administrator rights to inject arbitrary web script or HTML via the Customapp function.
Publication Date	April 18, 2017, 12:59 a.m.
Registration Date	Jan. 26, 2021, 2:12 p.m.
Last Update	Nov. 21, 2024, 11:53 a.m.

Affected software configurations

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN06726266/index.html	Third Party Advisory VDB Entry
2	http://jvn.jp/en/jp/JVN06726266/index.html	Third Party Advisory VDB Entry
3	http://jvndb.jvn.jp/en/contents/2016/JVNDB-2016-000184.html	Third Party Advisory VDB Entry
4	http://jvndb.jvn.jp/en/contents/2016/JVNDB-2016-000184.html	Third Party Advisory VDB Entry
5	http://www.securityfocus.com/bid/93281	Third Party Advisory VDB Entry
6	http://www.securityfocus.com/bid/93281	Third Party Advisory VDB Entry
7	https://support.cybozu.com/ja-jp/article/9430	Vendor Advisory
8	https://support.cybozu.com/ja-jp/article/9430	Vendor Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-79	クロスサイト・スクリプティング（XSS）	https://cwe.mitre.org/data/definitions/79.html