株式会社GROWIからの情報

### 概要
- 弊社が提供している GROWI システムにおいて、脆弱性が存在することが判明しました。
### 該当製品の確認方法
影響を受ける製品は以下の通りです。
- 製品名称：GROWI
- 該当バージョン： GROWI v7.5.0 およびそれ以前のバージョン

### 脆弱性の説明
- 「GROWI」のUserAgent解析において、未認証ReDos(正規表現によるサービス拒否攻撃)の脆弱性が存在します。
- User-Agent解析処理において入力値の長さ制限が行われておらず、細工された長い文字列を送信することでサーバーのCPUリソースを枯渇させることが可能です。

### 脆弱性の詳細情報（個人による提供）
- CWE-1333(Inefficient Regular Expression Complexity)
- CWE-400(Uncontrolled Resource Consumption)
- CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H基本値 7.5


### 脆弱性がもたらす脅威
未認証の攻撃者が細工した長いUser-Agentを含むリクエストを送信できる場合、以下の操作が可能です。
- サーバーのCPUリソースを飽和させ、サービス全体を応答不能にする。
- 同時並行でアクセスしている他の利用者のリクエストを大幅に遅延（タイムアウト）させる。

### 対策方法
v7.5.1 以降のバージョンにアップデートしてください。

### アップデート版の入手場所

- [GitHub](https://github.com/growilabs/growi)
- [Docker Hub](https://hub.docker.com/r/growilabs/growi)