公開日: 2021/03/08  最終更新日: 2021/09/15

株式会社WESEEKからの情報

脆弱性識別番号:JVNVU#94889258
脆弱性タイトル:GROWI における複数の脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊社が提供している GROWI システムにおいて、複数の脆弱性が存在することが判明しました。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:GROWI
該当バージョン:
・1 ~ 4: GROWI v4.2.2 およびそれ以前のバージョン
・5: GROWI v4.2.19 およびそれ以前のバージョン

■脆弱性の説明
「GROWI」において、複数の脆弱性が存在します。

■脆弱性がもたらす脅威
1. GROWI が出力する添付ファイルをブラウザで閲覧した際に、埋め込まれた JavaScript が実行される可能性があります。
2. システム上の任意のファイルに対する不正な読み出し、あるいは削除が実行される可能性があります。
3. ユーザの個⼈情報やサーバの内部情報を読み出される可能性があります。
4. システム上のファイルを上書きされ、結果として任意のコードが実⾏される可能性があります。
5. タグの不適切な処理により、特別に細工されたページを参照したユーザのブラウザ上で、任意のスクリプト が実行される可能性があります。

■対策方法
v4.2.20 およびそれ以降のバージョンにアップデートしてください。

■アップデート版の入手場所
[GitHub](https://github.com/weseek/growi)
[Docker Hub](https://hub.docker.com/r/weseek/growi/)