いつもShelterをご利用いただきまして、誠にありがとうございます。
Shelterにおけるクロスサイトスクリプティングの脆弱性につきまして以下のとおりお知らせいたします。
■概要
Shelterにおいてクロスサイトスクリプティングの脆弱性が存在することが判明しました。
shelterへのリクエストを不正に改ざんすることで、利用ユーザの特定の操作において外部サイトへの誘導やスクリプトの不正実行ができる脆弱性が存在します。
■脆弱性の説明
shelterへのリクエストを不正に改ざんしたリクエストを利用ユーザが意図せず実行した場合、特定の操作をした際に不正なスクリプトが実行される脆弱性が存在します。
■脆弱性がもたらす脅威
攻撃者が設置したスクリプトにより、悪意のある外部サイトへ誘導されることがあります。また、shelterの管理者が攻撃者がスクリプトを設置したURLを開いた場合に、shelterの管理操作を意図せず実行させられる可能性があります。
■改善対応
2023年12月20日のメンテナンスにて対応を実施し、現在は改善されております。
上記の脆弱性に伴う攻撃を実行することはできません。
また、Shelterにおいて本脆弱性を悪用したデータの改ざんや情報漏えい等は確認されておりません。
■オンプレミス版をご利用のお客さま
最新版である1.3.49.0(1.17.0)以降にバージョンアップをお願いいたします。
今後ともShelterをご愛顧のほど、よろしくお願い申し上げます。