プリザンターにおけるクロスサイトスクリプティングの脆弱性につきまして
公開日 2023年5月25日<br>
<br>
<h3>■概要</h3>
弊社製品「プリザンター」の全バージョンにおいてクロスサイトスクリプティングの脆弱性が存在することが判明しました。この脆弱性を悪用された場合、悪意ある第三者の攻撃により、外部の不正なサイトへの誘導やプリザンターに登録しているデータの情報漏洩や改ざんの危険性があります。<br>
この問題の影響を受けるプリザンターのバージョンを以下に示しますので、対策方法に記載する対応を実施してください。<br>
<br>
<h3>■該当バージョンの確認方法</h3>
影響を受けるバージョンは以下の通りです。<br>
<b>1.3.38.1以前の全てのバージョン</b><br>
※Commnunity Edition、Enterprise Editionどちらも該当します。<br>
※1.2版、1.1版、0.51版、0.50版、0.49版以前も該当します。<br>
<br>
バージョンの確認方法は以下のユーザマニュアルを参照願います。<br>
[FAQ:プリザンターのバージョンを確認したい](/ja/manual/faq-version)<br>
<a href="https://pleasanter.org/manual/faq-version">https://pleasanter.org/manual/faq-version<br></a>
<br>
<h3>■脆弱性の説明</h3>
ログインした一般ユーザがマークダウン形式で入力できる項目(内容、説明項目、コメント等)に対して特殊な表記方法でスクリプトを埋め込むことで、外部サイトへの誘導やプリザンターが提供するスクリプトを実行できる脆弱性が存在します。プリザンターにログインできない匿名ユーザは本脆弱性を用いた攻撃はできません。<br>
<br>
<h3>■脆弱性がもたらす脅威</h3>
攻撃者が設置したスクリプトにより、悪意のある外部サイトへ誘導されることがあります。また、プリザンターの管理者が攻撃者がスクリプトを設置したページを開いた場合に、プリザンターの管理操作を意図せず実行させられる可能性があります。<br>
<br>
<h3>■対策方法</h3>
<b>バージョン1.3.Xをご利用のお客様</b><br>
対策済の最新版である1.3.38.2以降(2023年5月25日リリース)にバージョンアップをしてください。またはバージョンアップ作業を避けたい場合は、「暫定対策方法」で公開する個別パッチを適用してください。<br><br>
<b>バージョン1.2.X、1.1.X、0.51.X、0.50.X、0.49.X以前をご利用のお客様</b><br>
対策済の最新版である1.3.38.2以降(2023年5月25日リリース)にバージョンアップをしてください。なお、バージョンアップ作業を避けたい場合、年間サポートご契約のお客様は、サポート窓口にてお客様のバージョンに合わせた個別パッチを提供いたします。詳しくはサポート窓口にてお問い合わせいただきますようお願いいたします。<br>
また、年間サポートサービスをご契約なされていないお客様は、1.3.38.2にバージョンアップしてください。バージョンアップ作業を避けたい場合は、年間サポートサービスをご契約の上、個別パッチを提供いたしますので、下記「連絡先」までお問い合わせくださいますようお願いいたします。 <br>
<br>
<h3>■暫定対策方法</h3>
<b>バージョン1.3.Xをご利用のお客様</b><br>
以下より個別パッチをダウンロードをお願いします。<br>
<a href="https://github.com/Implem/Implem.Pleasanter/issues/474">https://github.com/Implem/Implem.Pleasanter/issues/474</a><br><br>
【注意点】本個別パッチを適用後にプリザンター1.3.38.2以降にバージョンアップする際は、本個別パッチを削除してください。<br><br>
<b>バージョン1.2.X、1.1.X、0.51.X、0.50.X、0.49.X以前をご利用のお客様</b><br>
サポートWebにてお問い合わせください。(年間サポート契約が必要です)<br>
<br>
<h3>■更新履歴</h3>
2023.5.25 この脆弱性情報を公開しました。<br>
<br>
<h3>■連絡先</h3>
本件につきまして、ご不明な点がございましたら以下よりお問い合わせ下さい。<br>
<p class="btn" style="width: 60%; margin: auto;"><a href="/contact/" target="_blank" class="c-btn">お問い合わせフォーム</a></p>
