概要
CVE-2026-30237は、エンタープライズ向けCRMおよびグループウェアツールであるGroup-Officeのインストーラーに存在する、反射型クロスサイトスクリプティング(XSS)の脆弱性です。具体的には、インストーラーのライセンスページ(install/license.php)において、POSTフィールド「license」が<textarea>タグ内でエスケープ処理されずにレンダリングされるため、攻撃者が悪意のあるスクリプトを挿入し、実行させる可能性が指摘されています。
この脆弱性は、2026年3月6日に公開され、深刻度は「LOW」と評価されています。
影響範囲
この脆弱性の影響を受けるのは、以下のGroup-Officeのバージョンです。
- バージョン6.8.155より前のGroup-Office
- バージョン25.0.88より前のGroup-Office
- バージョン26.0.10より前のGroup-Office
これらのバージョンを使用している環境で、Group-Officeのインストールプロセスが実行される場合に影響を受ける可能性があります。
想定される影響
反射型XSSの脆弱性が悪用された場合、以下のような影響が想定されます。
- 攻撃者が細工したURLなどをユーザーにクリックさせることで、ユーザーのブラウザ上で任意のスクリプトが実行される可能性があります。
- これにより、ユーザーのセッション情報の窃取、Webサイトの改ざん(ユーザーのブラウザ上での表示のみ)、フィッシング詐欺への誘導などが引き起こされる可能性があります。
- ただし、インストーラーページでの脆弱性であるため、通常の運用環境における影響は限定的である可能性も考えられます。
攻撃成立条件・悪用状況
この脆弱性を悪用するには、攻撃者が細工したリクエスト(POSTデータを含む)をユーザーに送信させ、ユーザーがGroup-Officeのインストーラーページ(install/license.php)にアクセスし、かつ攻撃者の意図するPOSTデータを送信する必要があります。
現在のところ、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- Group-Officeのアップデート: 脆弱性が修正された最新バージョンへの速やかなアップデートを強く推奨します。修正済みバージョンは以下の通りです。
- Group-Office 6.8.155以降
- Group-Office 25.0.88以降
- Group-Office 26.0.10以降
中長期的な対策
- Webアプリケーションファイアウォール(WAF)の導入・設定強化: WAFを導入している場合は、XSS攻撃パターンを検知・ブロックできるよう設定を見直してください。
- 定期的なセキュリティ診断: Webアプリケーションに対する定期的なセキュリティ診断を実施し、潜在的な脆弱性を早期に発見・対処する体制を構築してください。
一時的な緩和策
- インストーラーページへのアクセス制限: Group-Officeのインストーラーページ(
install/license.php)へのアクセスを、必要なユーザーやIPアドレスに限定するよう、Webサーバーやネットワークレベルでアクセス制御を設定することを検討してください。 - インストーラーファイルの削除: Group-Officeのインストールが完了し、インストーラーが不要になった場合は、セキュリティリスクを低減するために関連ファイルを削除するか、アクセスできないように設定することを検討してください。
確認方法
- 現在利用しているGroup-Officeのバージョンを確認し、修正済みバージョンと比較してください。
- Group-Officeの公式リリースノートやセキュリティアドバイザリを参照し、パッチが適用されているか確認してください。
参考情報
- CVEfeed.io: https://cvefeed.io/vuln/detail/CVE-2026-30237