F-RevoCRMバージョン6系の脆弱性と対応について


平素よりF-RevoCRMをご利用いただき誠にありがとうございます。
この度、F-RevoCRMバージョン6系において脆弱性が発見されました。
それに伴い本日リリースのF-RevoCRM 6.5 patch6.1 にて脆弱性を修正しましたのでお知らせ致します。

対象アプリケーション

F-RevoCRM 6.0 〜 F-RevoCRM 6.5 patch6 までのバージョン6系全て

概要

F-RevoCRMにログインしているユーザのウェブブラウザ上で任意のスクリプトが実行される可能性があります。

影響

本脆弱性により悪意のあるリンクなどを押した際にウェブブラウザ上から意図しない操作や情報の採取等が行われる可能性があります。

以下、CVSS v3を基準とした影響度です。

  • 深刻度 緊急
  •   該当なし

  • 深刻度 重要
  •  該当なし

  • 深刻度 警告
  •  CVSS v3 基本値:6.1
     CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N/BS:6.1

  • 深刻度 注意
  •  該当なし

回避方法

F-RevoCRMにログインした状態のみ本脆弱性は有効となります。そのため、信頼性が低い外部サイトを参照する場合などはF-RevoCRMからログアウトした状態にしておく、あるいは別のブラウザを利用していただくことで回避することが可能です。
また、Proxyサーバなどで不適切なサイトへのアクセスを制限することも影響を軽減することが期待できます。

対策

F-RevoCRM 6.5 patch6.1 までのアップデートを実施してください。
バージョンアップ、パッチの適用方法については会員サイトに公開されているプログラム及びパッチファイルに付属のReadmeをご覧ください。
また、当社シンキングリードのサポート契約を締結されているお客様に対しましては個別にご連絡を差し上げた上で対応を実施させていただきます。

連絡先

脆弱性連絡窓口
info@thinkingreed.co.jp