平素よりF-RevoCRMをご利用いただき誠にありがとうございます。
この度、F-RevoCRM version7.3系において脆弱性が発見されました。
それに伴い本日リリースのF-RevoCRM 7.3.9 にて脆弱性を修正しましたのでお知らせ致します。
- F-RevoCRM version7.3.7 および version7.3.8
- F-RevoCRM version7.3.8 までのすべての7.3系
- F-RevoCRMの稼働OSに対して任意のコマンドが実行可能
- F-RevoCRMでクロスサイトスクリプティング(悪意のあるスクリプトの実行)が可能
- 本脆弱性によりOSに対して深刻なダメージやデータの漏洩の恐れがあります。
- 本脆弱性により意図しないスクリプトの埋め込みにより情報の搾取などが行われる可能性があります。
以下、CVSS v3を基準とした影響度です。
- CVSS v3 基本値:9.8 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H:9.8
- CVSS v3 基本値:5.4 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N:5.4
- 以下のディレクトリを削除してください。
「docker」
- F-RevoCRMにログインした状態のみ本脆弱性は有効となります。
そのため、信頼性が低い外部サイトを参照する場合などはF-RevoCRMからログアウトした状態にしておく、あるいは別のブラウザを利用していただくことで回避することが可能です。
また、Proxyサーバなどで不適切なサイトへのアクセスを制限することも影響を軽減することが期待できます。
F-RevoCRM version7.3.9 までのアップデートを実施してください。
上記2件の脆弱性に対して修正がされております。バージョンアップ、パッチの適用方法についてはF-RevoCRM公式サイトか、GitHubのREADME.mdをご確認ください。
また、当社シンキングリードのサポート契約を締結されているお客様に対しましては
個別のパッチ適用が完了しておりますのでご安心いただければと存じます。