「※CVE番号・謝辞・その他の情報はJVN公表後(近日中)に更新されます」

概要

• 弊社が提供している GROWI システムにおいて、クロスサイトスクリプティング（XSS）の脆弱性が存在することが判明しました。

該当製品の確認方法

影響を受ける製品は以下の通りです。
製品名称：GROWI
該当バージョン：
・GROWI v7.4.6 およびそれより前のバージョン

脆弱性の説明

• 「GROWI」のファイルアップロード機能において、格納型クロスサイトスクリプティング（Stored XSS) の脆弱性が存在します。
• 攻撃者が細工した HTML ファイル等をアップロードし、他のユーザーがそのファイルにアクセスすることで、ブラウザ上で任意のスクリプトが実行される可能性があります。

脆弱性がもたらす脅威

• ログイン可能なユーザーによって、フィッシングサイトへの誘導や、悪意のあるコンテンツをブラウザ上で実行させられる可能性があります。
• ただし、ファイルが S3 等の外部ドメインから配信される設定の場合、GROWI 本体ドメインの Cookie 奪取などの直接的な影響は限定的です。

対策方法

GROWI を v7.4.7 以降のバージョンにアップデートしてください。 本修正により、Content-Disposition ヘッダーの制御機能が導入されました。管理者が許可した MIME タイプ以外は強制的にダウンロード（attachment）として配信されるようになり、ブラウザ上での不正なスクリプト実行を防止します。

アップデート版の入手場所

• GitHub
• Docker Hub

関連ページ

• GROWI.org
• デモサイト
• GROWI Docs
• GitHub