CRITICAL🇬🇧 English

CVE-2024-31401

XSS w Cybozu Garoon umożliwia wstrzyknięcie skryptu przez administratora

CVSS 9.0v3.1pub. 2024-06-11upd. 2025-08-05

W Cybozu Garoon w wersjach 5.0.0 do 5.15.2 istnieje podatność typu cross-site scripting (XSS), która pozwala uwierzytelnionemu atakującemu z uprawnieniami administratora na wstrzyknięcie dowolnego skryptu w przeglądarce zalogowanego użytkownika. Mimo że wymagane są uprawnienia administracyjne, podatność jest oceniana jako krytyczna ze względu na wysoki wpływ na poufność, integralność i dostępność.

Pokaż oryginał (EN)

Cross-site scripting vulnerability in Cybozu Garoon 5.0.0 to 5.15.2 allows a remote authenticated attacker with an administrative privilege to inject an arbitrary script on the web browser of the user who is logging in to the product.

🤖 Analiza AI
Jak działa

Atakujący posiadający konto administratora w Cybozu Garoon może wstrzyknąć złośliwy skrypt, który zostanie wykonany w kontekście przeglądarki innego użytkownika aktualnie zalogowanego w systemie. Podatność wymaga interakcji po stronie ofiary (UI:R), co oznacza, że użytkownik musi wykonać określoną czynność lub odwiedzić odpowiednią stronę w aplikacji. Ze względu na zmianę zakresu (S:C), skutki mogą wykraczać poza samą aplikację Cybozu Garoon.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na przejęcie sesji użytkownika, kradzież poufnych danych, wykonanie nieautoryzowanych działań w imieniu ofiary lub przeprowadzenie dalszych ataków w kontekście przeglądarki zaatakowanego użytkownika.

Mitygacja

Należy zaktualizować Cybozu Garoon do wersji wyższej niż 5.15.2. Szczegółowe informacje o dostępnych patchach znajdują się w referencjach producenta: https://cs.cybozu.co.jp/2024/007901.html oraz https://jvn.jp/en/jp/JVN28869536/

Kogo dotyczy

Cybozu Garoon w wersjach od 5.0.0 do 5.15.2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H
  • Cybozu Garoon

    APP
    Cybozu
    5.5.0 – 6.0.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2019-5945CRITICAL9.8ten sam produkt

Cybozu Garoon 4.2.4 to 4.10.1 allow remote attackers to obtain the users' credential information via the authe...

CVE-2016-1219CRITICAL9.8ten sam produkt

Cybozu Garoon before 4.2.2 allows remote attackers to bypass login authentication via vectors related to API u...

CVE-2022-30602HIGH8.1ten sam produkt

Operation restriction bypass in multiple applications of Cybozu Garoon 4.0.0 to 5.9.1 allows a remote authenti...

CVE-2022-29484HIGH8.1ten sam produkt

Operation restriction bypass vulnerability in Space of Cybozu Garoon 4.0.0 to 5.9.0 allows a remote authentica...

CVE-2021-20758HIGH8.0ten sam produkt

Cross-site request forgery (CSRF) vulnerability in Message of Cybozu Garoon 4.0.0 to 5.0.2 allows a remote aut...