公開日: 2019/06/07  最終更新日: 2019/06/07

株式会社WESEEKからの情報

脆弱性識別番号:JVN#84876282
脆弱性タイトル:GROWI における複数の脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊社が提供している GROWI システム (v3.4.6 以前) において、オープンリダイレクトの脆弱性およびクロスサイト・リクエスト・フォージェリの脆弱性が含まれることが判明しました。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:GROWI
該当バージョン:v3.4.6 およびそれ以前

■脆弱性の説明
「GROWI」において、オープンリダイレクトの脆弱性およびクロスサイト・リクエスト・フォージェリの脆弱性が存在します。

■脆弱性がもたらす脅威
オープンリダイレクトの脆弱性により、ユーザーが意図しないウェブサイトに誘導され、結果としてフィッシングなどの被害にあう可能性があります。
また、クロスサイト・リクエスト・フォージェリの脆弱性により GROWI 内のユーザー情報(名前やメールアドレス等の属性)が、同システム利用中の別のユーザーにより書き換えられる可能性があります。

■対策方法
v3.4.7 以降にアップグレードしてください