Cybozu Advance のXSS脆弱性を修正しました。

畑です。

公開早々ご迷惑をおかけしますが、Cybozu Advance にXSS脆弱性が見つかりましたので、改修いたしました。v1.0.0 をダウンロードされた方は、最新版(v1.0.1)を再度ダウンロードして頂ければと思います。

XSS脆弱性が存在していた箇所は具体的には以下の通りになります。

  • 予定の詳細表示画面
  • 予定の登録・変更画面
  • APIへのアクセス

APIアクセス先のサイボウズ Office 8 またはガルーン 3 自体のXSS脆弱性ではなく、Cybozu Advance 自体のXSS脆弱性となりますので、Cybozu Advance を最新版に更新することで問題は解消されます。

以上、ご迷惑をおかけしました。

cybozuinsideout

関連記事
このエントリーをはてなブックマークに追加