プリザンターにおけるクロスサイトスクリプティングの脆弱性
■概要
弊社製品「プリザンター」の全バージョンにおいてクロスサイトスクリプティングの脆弱性が存在することが判明しました。この脆弱性を悪用された場合、悪意のある第三者の攻撃により、外部の不正なサイトへの誘導やプリザンターに登録されているデータの情報漏洩や改ざんの危険性があります。
この問題の影響を受けるプリザンターのバージョンを以下に示しますので、対策方法に記載された対応を実施してください。
■該当バージョンの確認方法
影響を受けるバージョンは以下の通りです。
1.4.20.0以前の全てのバージョン
※CommunityEdition、EnterpriseEditionどちらも該当します。
※1.3版、1.2版、1.1版、0.51版、0.50版、0.49版以前も該当します。
バージョンの確認方法は以下のユーザマニュアルを参照願います。
「FAQ:プリザンターのバージョンを確認したい」
https://pleasanter.org/manual/faq-version
■脆弱性の説明
ログインした一般ユーザが悪意のあるスクリプトを含むHTMLファイルを添付ファイル項目にアップロード後に添付ファイルをプレビュー表示することで、外部サイトへの誘導やプリザンターが提供するスクリプトを実行できる脆弱性が存在します。プリザンターにログインできない匿名ユーザは本脆弱性を用いた攻撃はできません。
ログインした一般ユーザが、内容、説明項目、コメント等に対して特殊な表記方法でスクリプトを埋め込むことで、外部サイトへの誘導やプリザンターが提供するスクリプトを実行できる脆弱性が存在します。プリザンターにログインできない匿名ユーザは本脆弱性を用いた攻撃はできません。
■脆弱性がもたらす脅威
攻撃者が設置したスクリプトにより、悪意のある外部サイトへ誘導されることがあります。また、プリザンターの管理者が攻撃者の設置したスクリプトが含まれるページを開いた場合に、プリザンターの管理操作を意図せず実行させられる可能性があります。
■対策方法
バージョン1.4.X、1.3.X、1.2.X、1.1.X、0.51.X、0.50.X、0.49.X以前をご利用のお客様
対策済の最新版である1.4.21.0以降(2025年10月24日リリース)にバージョンアップをしてください。
※バージョンアップをせずに対策するための個別パッチの提供はございません。
専用環境ご利用のお客様
別途スケジュール調整の上速やかにバージョンアップいたします。(再起動が必要です)
Pleasanter.netご利用のお客様
2025年10月18日の定期メンテナンスにて対策済みです。
■更新履歴
2025.10.24 この脆弱性情報を公開しました。
■連絡先
本件につきまして、ご不明な点がございましたら以下よりお問い合わせ下さい。
お問い合わせフォーム https://pleasanter.org/contact/