公開日：2025/10/16
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　最終更新日：2025/10/16
　
　
この度、ChatLuck にて、複数のセキュリティ上の問題が確認されましたのでご報告いたします。
　
　■脆弱性情報
　　１）「チャットルーム」におけるクロスサイトスクリプティングの脆弱性（1件）
　　２）ゲストユーザー招待機能におけるアクセス制限不備の脆弱性（1件）
　　３）「ゲストユーザー登録」におけるクロスサイトスクリプティングの脆弱性（1件）
　
　
　■対象となる製品及びバージョン
　　製品名：
　　　ChatLuck
　
　　対象バージョン ：
　　　１）２）の脆弱性：V6.6 R2.0以前
　　　３）の脆弱性：V3.6 R1.0～V6.6 R1.0
　
　　クラウド版をご利用のお客様はこちらをご確認ください。
　　https://www.chatluck.com/support/cloud/mainte/
　
　
　■事象/内容/再現手順
　　セキュリティの観点から、非公開とさせていただきます。
　
　
　■想定されるセキュリティ上の影響
　　想定されるセキュリティ上の影響は、各脆弱性により異なりますが、次のような影響を受ける可能性があります。
　
　　・当該製品にアクセスしたユーザーのウェブブラウザ上で、任意のスクリプトを実行される
　
　　・本来ゲストユーザーとして招待されていない第三者によって、ゲストユーザー登録をされる
　
　　※ChatLuckにログインしていることが前提となります。
　　　また、任意のスクリプトを入力（登録）できるのは、ChatLuckの利用ユーザーに限定されます。
　　　従いまして、第三者攻撃の可能性は低いものとなります。
　
　　※任意のスクリプトを入力（登録）できるのは、攻撃者（悪意あるゲストユーザー）に限定されます。
　　　攻撃者（悪意あるゲストユーザー）の特定は可能となりますので、追跡は可能です。
　
　
　■対応策
　　ChatLuck V6.7 R1.0以上へアップデートすることで、本セキュリティの問題が解消されます。
　
　
　■回避策
　　脆弱性情報１）への回避策はございません。
　
　　脆弱性情報２）３）については、ゲストユーザーの招待を行わない、またはメールでの招待を行わないことで回避可能です。
　
　
　■更新履歴
　　2025.10.16　　この脆弱性情報ページを公開しました。
　
　
　■関連情報
　　ChatLuck における複数の脆弱性について
　　https://jvn.jp/jp/JVN13030751/
　
　
　■本件に関するお問い合わせ
　　株式会社ネオジャパン　DX事業部サービス部
　　E-Mail：cltech@chatluck.com
　
　
　
以上となります。
この度は、ご迷惑・ご心配をお掛けし、誠に申し訳ありません。
製品品質の維持・向上に、より一層努力してまいりますので、今後とも何卒宜しくお願い致します。