关键漏洞信息 漏洞名称 [CyVDB-2014] 邮件相关的跨站脚本(XSS)漏洞 影响版本 10.0.0 10.0.1 10.0.2 10.1.0 10.1.2 10.2.0 10.3.0 10.4.0 10.5.0 10.6.0 10.6.1 10.7.0 10.8.0 10.8.1 10.8.2 10.8.3 10.8.4 修复版本 10.8.5 公布日期 2021-03-12 更新日期 2021-03-12 详情 漏洞描述 此漏洞被恶意利用时,用户在使用Cybozu Office期间,可能在Web浏览器上执行任意脚本。 漏洞类型 跨站脚本(XSS) 基本评估 攻击源区分(AV): 网络 攻击条件复杂度(AC): 高 必要特权级别(PR): 不需要(攻击前无需认证如登录等) 用户交互级别(UI): 必要 影响范围(S): 更改(可能存在漏洞的组件以外的影响,影响范围不确定) 机密性影响(C): 低(存在信息泄露的可能性但影响有限) 完整性影响(I): 低(存在篡改的可能性但影响有限) 可用性影响(A): 无 CVSS评分 4.7 (中等/警告) 补充说明 为了防止被攻击,暂不公开重现步骤。 使用了公共漏洞评分系统CVSS v3进行评估,CVSS v3详情见:https://www.ipa.go.jp/security/vuln/CVSSv3.html CVSS评分在6.9以下时,建议版本升级,但不一定会为旧版本发布补丁。 漏洞处理政策 https://cybozu.co.jp/company/security-policy/ CVE编号 (CVE-ID) CVE-2021-20629 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20629 回避措施 避免方法:在下一版本将进行修复,请检视版本更新情况。 -Cybozu Office版本10.8.5