Version 2.0.3リリースのお知らせ

* English version is below *
平素より OSS Calendar をご利用いただきありがとうございます。
この度 OSS Calendar に脆弱性が発見されました。
修正されたバージョンである 2.0.3 をリリースしましたのでお知らせいたします。

Version 2.0.3 より前にリリースされた OSS Calendar.

 OSS Calendar にログインしたユーザーによる SQL インジェクション攻撃が可能となります。

 攻撃者は、脆弱な OSS Calendar にログインする事で、以下の事象を引き起こすことが可能です。

 以下、CVSS v3を基準とした影響度です。

 ・深刻度 重要
  CVSS v3 基本値:8.8  CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

 OSS Calendar にログインした状態でのみ本脆弱性は悪用可能となります。

 OSS Calendar Version 2.0.3 へのバージョンアップを実施してください。
 バージョンアップの方法については GitHub の をご確認ください。


—- English Version —-

A vulnerability has been identified in OSS Calendar.

Affected Products:
OSS Calendar prior to Version 2.0.3.

A user who is logged in to the OSS Calendar could execute an SQL Injection attack.

These impacts will occur when an attacker who is logged into the OSS Calendar exploits the vulnerability.

– Information theft and tampering
– System destruction

The impact according to CVSS v3 is as follows:
Severity: Important
CVSS v3 Base Score: 8.8

This vulnerability can only be exploited when an attacker is logged into the OSS Calendar.
To bypass the impact, consider implementing the following workarounds:

– Limit access to trusted sources.
– Delete unnecessary accounts.
– Use more complex and strong passwords in place of simple and weak ones.

Update to the OSS Calendar version 2.0.3.
For instructions on how to upgrade, please refer to on GitHub.

Furthermore, for customers under our support contract at Thinkingreed, individual corrections have already been completed to address this vulnerability. We hope this provides you with peace of mind.