概要
Group-Officeは、企業向けの顧客関係管理(CRM)およびグループウェア機能を提供するツールです。この度、Group-Officeの特定のバージョンにおいて、リフレクテッドXSS(クロスサイトスクリプティング)の脆弱性(CVE-2026-30238)が報告されました。
この脆弱性は、external/indexフローにおけるfパラメータ(Base64エンコードされたJSONデータ)の処理に起因します。デコードされたデータが厳密なエスケープ処理なしにインラインJavaScriptブロックに挿入されるため、攻撃者が細工した入力を与えることで、任意のJavaScriptコードが被害者のブラウザ上で実行される可能性があります。
本脆弱性の深刻度は「MEDIUM」と評価されており、CVSSスコアは5.1とされています。
影響範囲
以下のGroup-Officeのバージョンが本脆弱性の影響を受けると報告されています。
- バージョン 6.8.155 より前のバージョン
- バージョン 25.0.88 より前のバージョン
- バージョン 26.0.10 より前のバージョン
修正済みバージョンは、6.8.155、25.0.88、および26.0.10以降です。
想定される影響
本脆弱性が悪用された場合、以下のような影響が想定されます。
- 攻撃者が細工したURLをユーザーにクリックさせることで、ユーザーのブラウザ上で任意のJavaScriptコードが実行される可能性があります。
- これにより、ユーザーのセッションハイジャック、機密情報の窃取(クッキーやローカルストレージのデータなど)、Webサイトの改ざん、悪意のあるコンテンツの表示、マルウェアのダウンロードなど、様々な悪意のある操作が行われる可能性があります。
- 実行されるJavaScriptコードは、ユーザーがGroup-Officeにログインしている場合の権限で動作するため、その権限に応じた影響が考えられます。
攻撃成立条件・悪用状況
攻撃者は、脆弱性のあるGroup-Officeインスタンスを利用しているユーザーに対して、細工されたURLを提示し、ユーザーがそのURLをクリックすることで攻撃が成立する可能性があります。例えば、フィッシングメールや悪意のあるWebサイトを通じて、ユーザーを誘導する手口が考えられます。
現在のところ、この脆弱性が実際に悪用されたという具体的な報告は確認されていません。
推奨対策
今すぐできる対策(最優先)
- Group-Officeのアップデート: 影響を受けるバージョンを使用している場合は、速やかに以下の修正済みバージョンへアップデートすることを強く推奨します。
- バージョン 6.8.155 以降
- バージョン 25.0.88 以降
- バージョン 26.0.10 以降
中長期的な対策
- セキュリティ情報の継続的な監視: 利用しているソフトウェアのセキュリティ情報を定期的に確認し、常に最新の状態を保つ運用体制を確立してください。
- WAFの導入・設定見直し: Webアプリケーションファイアウォール (WAF) を導入している場合は、XSS攻撃に対する防御ルールが適切に設定されているか確認し、必要に応じて強化を検討してください。
- 従業員へのセキュリティ教育: 不審なリンクやメールをクリックしないよう、従業員への注意喚起とセキュリティ教育を継続的に実施し、フィッシング攻撃への耐性を高めてください。
一時的な緩和策
本脆弱性に対する直接的な一時的な緩和策は、アップデート以外の有効な手段が限られます。WAFでの特定のパターンブロックは、誤検知のリスクや完全な防御が難しい可能性があるため、慎重な検討が必要です。最も効果的な対策は、速やかに修正済みバージョンへアップデートすることです。
確認方法
現在ご利用中のGroup-Officeのバージョンを確認してください。バージョンが6.8.155、25.0.88、26.0.10より古い場合は、本脆弱性の影響を受ける可能性があります。
参考情報
- CVE-2026-30238詳細: https://cvefeed.io/vuln/detail/CVE-2026-30238