公開日: 2020/11/25  最終更新日: 2020/11/25

株式会社WESEEKからの情報

脆弱性識別番号:JVN#56450373
脆弱性タイトル:GROWI における複数の脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊社が公開している GROWI システム において、複数の脆弱性が含まれることが判明しました。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:GROWI
該当バージョン:
CVE-2020-5676
・GROWI v4.1.3 およびそれ以前のバージョン
CVE-2020-5677
・GROWI v4.0.0 およびそれ以前のバージョン
CVE-2020-5678
・GROWI v3.8.1 およびそれ以前のバージョン

■脆弱性の説明
特定の api を利用することで、任意のユーザーが予め非公開に設定していたメールアドレスを取得できる。
GROWIにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実⾏できる。

■脆弱性がもたらす脅威
メールアドレスを非公開に設定しているユーザーであっても第三者に知られてしまう可能性があります。
クロスサイトスクリプティングの脆弱性により、任意のスクリプトを実⾏される可能性があります。

■対策
GROWI を v4.1.5 以降のバージョンにアップデートしてください。

■アップデート版の入手場所
[GitHub](https://github.com/weseek/growi)
[Docker Hub](https://hub.docker.com/r/weseek/growi/)