※CVE番号・謝辞・その他の情報はJVN公表後(近日中)に更新されます

概要

• 弊社が提供している GROWI システムにおいて、クロスサイトスクリプティングの脆弱性が存在することが判明しました。

該当製品の確認方法

影響を受ける製品は以下の通りです。
製品名称：GROWI
該当バージョン：
・GROWI v7.2.10 より前のバージョン

脆弱性の説明

• 「GROWI」において、 罠ページにアクセスするとページ上で攻撃者の指定したJavaScriptが実行される クロスサイト・スクリプティング の脆弱性が存在します。

脆弱性がもたらす脅威

• 被害者ユーザしか閲覧できないページやユーザ情報が漏洩する他、管理者アカウントが乗っ取られた場合には管理画面から閲覧できる情報が漏洩する可能性があります。
• JavaScriptが実行され、ページの表示が改ざんされる可能性があります。

対策方法

v7.3.0 以降のバージョンにアップデートしてください。

アップデート版の入手場所

• GitHub
• Docker Hub

関連ページ

• GROWI.org
• デモサイト
• GROWI Docs
• GitHub