畑です。
公開早々ご迷惑をおかけしますが、Cybozu Advance にXSS脆弱性が見つかりましたので、改修いたしました。v1.0.0 をダウンロードされた方は、最新版(v1.0.1)を再度ダウンロードして頂ければと思います。
XSS脆弱性が存在していた箇所は具体的には以下の通りになります。
- 予定の詳細表示画面
- 予定の登録・変更画面
- APIへのアクセス
APIアクセス先のサイボウズ Office 8 またはガルーン 3 自体のXSS脆弱性ではなく、Cybozu Advance 自体のXSS脆弱性となりますので、Cybozu Advance を最新版に更新することで問題は解消されます。
以上、ご迷惑をおかけしました。