株式会社GROWIからの情報

### 概要
- 弊社が提供している GROWI システムの過去のバージョンにおいて、クロスサイトスクリプティングの脆弱性が存在することが判明しました。

### 該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称：GROWI
該当バージョン：
・GROWI v4.2.8 より前のバージョン

### 脆弱性の説明
- GROWIのページアラート機能に、**反射型クロスサイトスクリプティング**（Reflected XSS）の脆弱性が存在します。
- 本脆弱性は、URLクエリパラメータを介してユーザー入力が不適切に処理され、攻撃者が任意のJavaScriptコードを実行できることに起因します


### 脆弱性がもたらす脅威

- **セッションハイジャック:** 攻撃者がユーザーのセッションクッキーを盗み、アカウントに不正にアクセスする可能性があります。
- **Webサイトの改ざん:** ページコンテンツが変更されたり、偽の情報が表示されたりする可能性があります。
- **悪意のあるサイトへのリダイレクト:** ユーザーをフィッシングサイトやマルウェア配布サイトに誘導し、個人情報を窃取する可能性があります。
- **機密情報の窃取:** ページの表示内容から機密データを盗み、攻撃者のサーバーへ送信する可能性があります。

### 対策方法
v4.2.8 以降のバージョンにアップデートしてください。

### アップデート版の入手場所

- [GitHub](https://github.com/weseek/growi)
- [Docker Hub](https://hub.docker.com/r/weseek/growi/)