2025/10/16 障害情報
desknet's NEOにおける、複数のセキュリティ上の問題について
公開日:2025/10/16
最終更新日:2025/10/16
この度、desknet's NEOにて複数のセキュリティ上の問題が確認されましたのでご報告いたします。
■脆弱性情報
1)クロスサイトスクリプティングの脆弱性(5件)
2)AppSuiteのアプリ作成機能における代替パスの不適切な保護の脆弱性(1件)
3)ハードコードされた暗号鍵の使用の脆弱性(1件)
■対象となる製品及びバージョン
製品名:
desknet's NEO・AppSuite / desknet's Web Server
対象バージョン :
1)の脆弱性
・desknet's NEO:desknet's NEO V2.0 R1.0~V9.0 R2.0、desknet's NEO V9.0 R2.0およびそれ以前
・AppSuite:desknet's NEO V4.0 R1.0~V9.0 R2.0
・desknet's Web Server:全バージョン
2)3)の脆弱性:desknet's NEO V4.0 R1.0~V9.0 R2.0
対象データベース :
PostgreSQL対応版、SQL Server対応版、Oracle対応版
※クラウド版をご利用のお客様はこちらをご確認ください。
https://www.desknets.com/cloud/support/mainte/
■事象/内容/再現手順
※セキュリティの観点から、非公開とさせていただきます。
■想定されるセキュリティ上の影響
想定されるセキュリティ上の影響は、各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・当該製品にアクセスしている状態のユーザーのウェブブラウザ上で、任意のスクリプトを実行される。
・当該製品にログイン可能な攻撃者によって、不正なAppSuiteアプリを作成される。
※desknet's NEOにログインしていることが前提となります。
また、任意のスクリプトを入力(登録)できるのは、desknet's NEOの利用ユーザーに限定されます。
従いまして、第三者攻撃の可能性は低いものとなります。
■対応策
[desknet's NEO/AppSuite]
desknet's NEO V9.5 R1.0以上へアップデートすることで、本セキュリティの問題が解消されます。
<PostgreSQL版/SQLServer版をご利用の場合>
アップデートモジュールをダウンロードの上、インストールを行ってください。
<カスタマイズ版及びOracle版をご利用の場合>
個別にご案内させていただきます。
[desknet's Web Server]
IISやApache等、他のWEBサービスへ変更する。
IISへの移行方法につきましては、以下のサイトをご参照の上、ご対応をお願いします。
・desknet's Web ServerからIISに切り替える方法(FAQ ID:NEO-T0214)
https://faq.desknets.com/neo/faq/NEO-T0214
■回避策
[desknet's NEO]
回避策はございません。
[AppSuite]
回避策はございません。
[desknet's Web Server]
回避策はございません。
■更新履歴
2025.10.16 この脆弱性情報ページを公開しました。
■関連情報
desknet's NEO における複数の脆弱性ついて
https://jvn.jp/jp/JVN90757550/
■本件に関するお問い合わせ
株式会社ネオジャパン DX事業部サービス部
E-Mail:neotech@desknets.com
以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。
最終更新日:2025/10/16
この度、desknet's NEOにて複数のセキュリティ上の問題が確認されましたのでご報告いたします。
■脆弱性情報
1)クロスサイトスクリプティングの脆弱性(5件)
2)AppSuiteのアプリ作成機能における代替パスの不適切な保護の脆弱性(1件)
3)ハードコードされた暗号鍵の使用の脆弱性(1件)
■対象となる製品及びバージョン
製品名:
desknet's NEO・AppSuite / desknet's Web Server
対象バージョン :
1)の脆弱性
・desknet's NEO:desknet's NEO V2.0 R1.0~V9.0 R2.0、desknet's NEO V9.0 R2.0およびそれ以前
・AppSuite:desknet's NEO V4.0 R1.0~V9.0 R2.0
・desknet's Web Server:全バージョン
2)3)の脆弱性:desknet's NEO V4.0 R1.0~V9.0 R2.0
対象データベース :
PostgreSQL対応版、SQL Server対応版、Oracle対応版
※クラウド版をご利用のお客様はこちらをご確認ください。
https://www.desknets.com/cloud/support/mainte/
■事象/内容/再現手順
※セキュリティの観点から、非公開とさせていただきます。
■想定されるセキュリティ上の影響
想定されるセキュリティ上の影響は、各脆弱性により異なりますが、次のような影響を受ける可能性があります。
・当該製品にアクセスしている状態のユーザーのウェブブラウザ上で、任意のスクリプトを実行される。
・当該製品にログイン可能な攻撃者によって、不正なAppSuiteアプリを作成される。
※desknet's NEOにログインしていることが前提となります。
また、任意のスクリプトを入力(登録)できるのは、desknet's NEOの利用ユーザーに限定されます。
従いまして、第三者攻撃の可能性は低いものとなります。
■対応策
[desknet's NEO/AppSuite]
desknet's NEO V9.5 R1.0以上へアップデートすることで、本セキュリティの問題が解消されます。
<PostgreSQL版/SQLServer版をご利用の場合>
アップデートモジュールをダウンロードの上、インストールを行ってください。
<カスタマイズ版及びOracle版をご利用の場合>
個別にご案内させていただきます。
[desknet's Web Server]
IISやApache等、他のWEBサービスへ変更する。
IISへの移行方法につきましては、以下のサイトをご参照の上、ご対応をお願いします。
・desknet's Web ServerからIISに切り替える方法(FAQ ID:NEO-T0214)
https://faq.desknets.com/neo/faq/NEO-T0214
■回避策
[desknet's NEO]
回避策はございません。
[AppSuite]
回避策はございません。
[desknet's Web Server]
回避策はございません。
■更新履歴
2025.10.16 この脆弱性情報ページを公開しました。
■関連情報
desknet's NEO における複数の脆弱性ついて
https://jvn.jp/jp/JVN90757550/
■本件に関するお問い合わせ
株式会社ネオジャパン DX事業部サービス部
E-Mail:neotech@desknets.com
以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。
-
パッケージ版
カスタマーセンター -
平日9時半-12時 / 13時-17時半
0800-500-6330
(※土日祝日を除く)※お問合せ内容により、担当部署から改めてのご回答となる場合がございます。
年間サポートご購入者さま向け技術的なお問合せ