JVN#18715935
GROWI における複数の脆弱性

株式会社WESEEK が提供する GROWI には、複数の脆弱性が存在します。

CVE-2023-42436

• GROWI v3.4.0 より前のバージョン

• GROWI v3.5.0 より前のバージョン

• GROWI v4.1.3 より前のバージョン

• GROWI v6.0.0 より前のバージョン

• GROWI v6.0.6 より前のバージョン

• GROWI v6.1.11 より前のバージョン

株式会社WESEEKが提供する GROWI には、次の複数の脆弱性が存在します。

• プレゼンテーション機能における格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-42436

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown) における格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-45737

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• プロフィール画像の処理における格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-45740

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ (CWE-352) - CVE-2023-46699

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:N	基本値: 3.5
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• XSS Filter の挙動を悪用した格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-47215

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• img タグによる格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-49119

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• イベントハンドラにおける格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-49598

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• コメント機能における格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-49779

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• MathJax の処理に起因した格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-49807

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-50175

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

• アプリ設定 (/admin/app) における Secret access key の平文表示 (CWE-312) - CVE-2023-50294

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N	基本値: 4.9
  CVSS v2	AV:N/AC:L/Au:S/C:P/I:N/A:N	基本値: 4.0

• ユーザー管理 (/admin/users) における不適切な認可 (CWE-285) - CVE-2023-50332

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N	基本値: 4.3
  CVSS v2	AV:N/AC:L/Au:N/C:N/I:P/A:N	基本値: 5.0

• セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング (CWE-79) - CVE-2023-50339

  CVSS v3	CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N	基本値: 5.4
  CVSS v2	AV:N/AC:M/Au:S/C:N/I:P/A:N	基本値: 3.5

想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。

• 当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される - CVE-2023-42436、CVE-2023-45737、CVE-2023-45740、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175、CVE-2023-50339
• 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、ユーザの意図しない設定変更が行われる - CVE-2023-46699
• 管理画面にアクセス可能な攻撃者によって、外部サービスの Secret access key を取得される - CVE-2023-50294
• ユーザが意図せず自身のアカウントを削除または停止させられる - CVE-2023-50332

アップデートする
開発者が提供する情報をもとに、最新版にアップデートしてください。
各脆弱性は次のバージョンで修正されています。

CVE-2023-42436

• GROWI v3.4.0 およびそれ以降

• GROWI v3.5.0 およびそれ以降

• GROWI v4.1.3 およびそれ以降

• GROWI v6.0.0 およびそれ以降

• GROWI v6.0.6 およびそれ以降

• GROWI v6.1.11 およびそれ以降