グループウェア「GroupSession」に複数の脆弱性-旧バージョン利用環境は早急なアップデートを

セキュリティニュース

投稿日時: 更新日時:

グループウェア「GroupSession」に複数の脆弱性-旧バージョン利用環境は早急なアップデートを

グループウェア「GroupSession」を提供する日本トータルシステム株式会社は、2025年12月8日付で同製品に複数の脆弱性が存在することを公表し、最新版へのアップデートを呼びかけています。

概要

対象となるのは、無料版・byCloud・ZION の各シリーズの一部バージョンで、クロスサイトスクリプティング(XSS)、SQLインジェクション、クロスサイトリクエストフォージェリ(CSRF)、権限チェック回避、オープンリダイレクト(安全ではない初期設定)といった典型的なWebアプリケーション脆弱性が含まれています。

同社は「最新版GroupSessionへのバージョンアップをご検討ください」と案内しており、影響を受ける環境を運用している場合は、速やかな対応が必要な状況です。

影響を受けるバージョン

今回の案内では、2つのバージョン帯に対して、それぞれ異なる脆弱性が公表されています。

1つ目の影響範囲(主に5.3系より前)

以下のバージョンには、XSS/SQLインジェクション/CSRF/権限チェック回避が含まれます。

  • GroupSession 無料版:ver 5.3.0 より前

  • GroupSession byCloud:ver 5.3.3 より前

  • GroupSession ZION:ver 5.3.2 より前

2つ目の影響範囲(5.7.1より前)

以下のバージョンには、XSSと「安全ではない初期設定」によるリダイレクトの問題が含まれます。

  • GroupSession 無料版:ver 5.7.1 より前

  • GroupSession byCloud:ver 5.7.1 より前

  • GroupSession ZION:ver 5.7.1 より前

※byCloudについては、すでに事業者側で対応済みと案内されています。オンプレミスの無料版・ZIONを運用している場合は、自社側でのアップデート作業が前提になります。

判明している脆弱性の内容

公表内容に基づき、それぞれの脆弱性がもたらす影響を整理します。

クロスサイトスクリプティング(XSS:CWE-79)

  • 対象:

    • 無料版 5.3.0 より前/byCloud 5.3.3 より前/ZION 5.3.2 より前

    • 無料版 5.7.1 より前/byCloud 5.7.1 より前/ZION 5.7.1 より前

  • 内容:
    細工されたページやURLにユーザがアクセスした場合、利用者のWebブラウザ上で任意のスクリプトが実行される可能性があります。
    典型的には、セッション情報の窃取、偽フォームの表示、画面改ざんなどにつながり得る種類の脆弱性です。

SQLインジェクション(CWE-89)

  • 対象:

    • 無料版 5.3.0 より前/byCloud 5.3.3 より前/ZION 5.3.2 より前

  • 内容:
    当該製品にログインしているユーザによって、アプリケーションを経由して不正なSQL文が実行され、データベース内の情報を取得されたり、改ざんされたりする可能性があります。
    想定される影響としては、保存されているスケジュール情報や社内連絡、ユーザ情報などの閲覧・書き換えなどが考えられます。

クロスサイトリクエストフォージェリ(CSRF:CWE-352)

  • 対象:

    • 無料版 5.3.0 より前/byCloud 5.3.3 より前/ZION 5.3.2 より前

  • 内容:
    ログイン中のユーザが細工されたページにアクセスした場合、本人の意図しない操作をさせられる可能性があります。
    たとえば、第三者が用意したページを開いただけで、設定変更や情報登録・削除といった操作が、ユーザ本人の権限で実行されてしまうタイプの問題です。

ユーザ識別情報操作による権限チェック回避(CWE-639)

  • 対象:

    • 無料版 5.3.0 より前/byCloud 5.3.3 より前/ZION 5.3.2 より前

  • 内容:
    ログインしているユーザが、ユーザ識別情報を細工することで、本来許可されていない操作を行えてしまう可能性があります。
    公表内容では、「回覧板のメモが改ざんされるおそれ」があるとされています。閲覧・編集権限の想定と異なる形で情報が変更される可能性があり、業務上の信頼性に直接影響し得る点です。

安全ではない初期設定(オープンリダイレクト:CWE-1188)

  • 対象:

    • 無料版 5.7.1 より前/byCloud 5.7.1 より前/ZION 5.7.1 より前

  • 内容:
    初期設定の状態で、細工されたURLにアクセスすると、任意のWebサイトにリダイレクトされてしまう可能性があります。
    いわゆる「オープンリダイレクト」の問題で、攻撃者はGroupSessionのURLを装いつつ、途中でフィッシングサイトなどに利用者を誘導することができます。

想定されるリスク

公表内容から読み取れるリスクを、利用側の視点で整理すると次のようになります。

  • 情報漏えい・改ざんリスク
    SQLインジェクションや権限チェック回避の問題により、ログインユーザの権限を悪用した情報取得・書き換えが行われるおそれがあります。

  • なりすまし・セッション乗っ取り
    XSSを悪用された場合、ブラウザ内のセッション情報や入力内容が盗まれ、なりすましログインにつながる可能性があります。

  • 意図しない設定変更・登録操作
    CSRFにより、ユーザが気付かないうちに各種設定変更や情報登録・削除が実行されると、業務に混乱を招く可能性があります。

  • フィッシングサイトへの誘導
    オープンリダイレクトの問題を悪用されると、「社内グループウェアのURLのように見えるリンク」から、外部の偽サイトへ誘導される危険があります。

いずれも、GroupSessionをインターネット越しに公開している環境や、テレワーク用途で外部からアクセスできる構成では、リスクが高まりやすい点に注意が必要です。

対処方法と推奨される対応

ベンダーが案内している公式な対処方法は、最新版GroupSessionへのバージョンアップです。

  • 無料版:最新バージョンのGroupSessionをダウンロードし、アップデートを実施する

  • byCloud:すでに事業者側で対応済みとされており、利用者側での作業は不要

  • ZION:提供されている最新バージョン(少なくとも5.7.1以降)へアップデートする

また、攻撃に直接つながる懸念から、対象機能や再現手順は公開されていません。