※CVE番号・謝辞・その他の情報はJVN公表後(近日中)に更新されます

概要

弊社が提供している GROWI システムの過去のバージョンにおいて、クロスサイトスクリプティングの脆弱性が存在することが判明しました。

GROWIのv4.2.8より前のバージョンのページアラート機能に、反射型クロスサイトスクリプティングの脆弱性が存在します。

本脆弱性は、URLクエリパラメータを介してユーザー入力が不適切に処理され、攻撃者が任意のJavaScriptコードを実行できることに起因します。

v4.2.8 にて修正対応が完了しておりますので、該当するバージョンをご利用中の方はアップデートをお願いいたします。

対策

GROWI を v4.2.8 以降のバージョンにアップデートしてください。

アップデート版の入手場所

• GitHub
• Docker Hub

関連ページ

• GROWI.org
• デモサイト
• GROWI Docs
• GitHub