権限のないユーザーが任意のユーザーの勤怠情報を閲覧できてしまう脆弱性が発見された。
サイボウズは10月5日、グループウェア製品「サイボウズ Office」にアクセス権限不備の脆弱性が見つかったと発表した。最新バージョンを利用するよう呼び掛けている。
同社によると、脆弱性はサイボウズ Office 7およびサイボウズ Office 6に存在する。登録されたユーザーがログインした後にURLを操作することで、他のログインユーザーのタイムカード情報を参照できてしまうという。
なおこの問題はイントラネットでのみ運用している場合には、インターネット側からは攻撃を受けないとしている。
Copyright © ITmedia, Inc. All Rights Reserved.