株式会社GROWIからの情報

[概要]
弊社が提供している GROWI システムにおいて、クロスサイトリクエストフォージェリ(CSRF)の脆弱性が存在することが判明しました。

[該当製品の確認方法]
影響を受ける製品は以下の通りです。
製品名称：GROWI
該当バージョン：
GROWI v7.3.3 およびそれ以前のバージョン

[脆弱性の説明]
「GROWI」において、当該製品にログインした状態のユーザが細⼯されたページにアクセスした場合、意図しない操作をさせられる可能性があります。

[脆弱性がもたらす脅威]
・アクセス可能なユーザの権限を利用して、アプリケーション内の設定やコンテンツが第三者によって改ざんされる可能性があります。
・被害者が細⼯されたページを閲覧すると、任意のファイルが送信され指定されたページに第三者によってファイルが添付されてしまう可能性があります。

[対策方法]
v7.3.4 以降のバージョンにアップデートしてください。

[アップデート版の入手場所]

・[GitHub](https://github.com/growilabs/growi)
・[Docker Hub](https://hub.docker.com/r/growilabs/growi)