desknet's NEO に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は10月16日、desknet's NEOにおける複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。GMOサイバーセキュリティ byイエラエ株式会社の小田切祥氏と石井健太郎氏、佐藤竜氏、小畑太治郎氏が報告を行っている。影響を受けるシステムは以下の通り。なお、クラウド版も脆弱性の影響を受ける。

・CVE-2025-24833
desknet's NEO V4.0R1.0からV9.0R2.0まで

・CVE-2025-52583
desknet's Web Server

・CVE-2025-54760、CVE-2025-54859
desknet's NEO V9.0R2.0およびそれ以前

・CVE-2025-55072
desknet's NEO V2.0R1.0からV9.0R2.0まで

・CVE-2025-58079、CVE-2025-58426
desknet's NEO V4.0R1.0からV9.0R2.0まで

　株式会社ネオジャパンが提供するdesknet's NEOには、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・格納型クロスサイトスクリプティング（CVE-2025-24833、CVE-2025-54760、CVE-2025-55072）
→当該製品にアクセスしている状態のユーザのウェブブラウザ上で任意のスクリプトを実行される

・反射型クロスサイトスクリプティング（CVE-2025-52583）
→当該製品にアクセスしている状態のユーザのウェブブラウザ上で任意のスクリプトを実行される

・格納型クロスサイトスクリプティング（CVE-2025-54859）
→当該製品にアクセスしている状態のユーザのウェブブラウザ上で任意のスクリプトを実行される

・AppSuiteのアプリ作成機能における代替パスの不適切な保護（CVE-2025-58079）
→当該製品にログイン可能な攻撃者によって、不正なAppSuiteアプリを作成される

・ハードコードされた暗号鍵の使用（CVE-2025-58426）
→当該製品にログイン可能な攻撃者によって、不正なAppSuiteアプリを作成される

　JVNでは、それぞれ下記の対策を実施するよう呼びかけている。

・CVE-2025-24833、CVE-2025-54760、CVE-2025-54859、CVE-2025-55072、CVE-2025-58079、CVE-2025-58426向け対策
→開発者が提供する情報をもとに、最新版にアップデート

・CVE-2025-52583向け対策
→desknet’s Web Serverの使用を中止し、Internet Information Services（IIS）に移行

　なお、クラウド版は2025年10月3日のメンテナンスで修正済みとなっている。

元の記事を読む