* English version is below *
平素より OSS Calendar をご利用いただきありがとうございます。
この度 OSS Calendar に脆弱性が発見されました。
修正されたバージョンである 2.0.3 をリリースしましたのでお知らせいたします。

【対象アプリケーション】
Version 2.0.3 より前にリリースされた OSS Calendar.

【概要】
　OSS Calendar にログインしたユーザーによる SQL インジェクション攻撃が可能となります。

【影響】
　攻撃者は、脆弱な OSS Calendar にログインする事で、以下の事象を引き起こすことが可能です。
　　・サーバ内の情報窃取
　　・サーバ内の情報改ざん
　　・サーバ上のファイルを書き換えることによるシステム破壊

　以下、CVSS v3を基準とした影響度です。

　・深刻度　重要
　　CVSS v3 基本値：8.8　　CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

【回避方法】
　OSS Calendar にログインした状態でのみ本脆弱性は悪用可能となります。
　以下の対策を講じることで、攻撃者のログインを阻止し、脆弱性の影響を
　回避することが期待できます
　　・対象システムに対するアクセスを信頼できる接続元のみに制限
　　・不要なアカウントの削除
　　・容易に推測可能なパスワードを利用している場合、より複雑なパスワードへの変更

【対策方法】
　OSS Calendar Version 2.0.3 へのバージョンアップを実施してください。
　バージョンアップの方法については GitHub の README.md をご確認ください。

　なお、シンキングリードのサポート契約を締結されているお客様に対しましては修正の適用が完了しておりますのでご安心いただければと存じます。

—- English Version —-

A vulnerability has been identified in OSS Calendar.

Affected Products:
OSS Calendar prior to Version 2.0.3.

Summary:
A user who is logged in to the OSS Calendar could execute an SQL Injection attack.

Impact:
These impacts will occur when an attacker who is logged into the OSS Calendar exploits the vulnerability.

– Information theft and tampering
– System destruction

The impact according to CVSS v3 is as follows:
Severity: Important
CVSS v3 Base Score: 8.8
CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Workaround:
This vulnerability can only be exploited when an attacker is logged into the OSS Calendar.
To bypass the impact, consider implementing the following workarounds:

– Limit access to trusted sources.
– Delete unnecessary accounts.
– Use more complex and strong passwords in place of simple and weak ones.

Solution:
Update to the OSS Calendar version 2.0.3.
For instructions on how to upgrade, please refer to README.md on GitHub.

Furthermore, for customers under our support contract at Thinkingreed, individual corrections have already been completed to address this vulnerability. We hope this provides you with peace of mind.