株式会社WESEEKからの情報

■概要
弊社が提供している GROWI システム (v3.4.6 以前) において、オープンリダイレクトの脆弱性およびクロスサイト・リクエスト・フォージェリの脆弱性が含まれることが判明しました。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称：GROWI
該当バージョン：v3.4.6 およびそれ以前

■脆弱性の説明
「GROWI」において、オープンリダイレクトの脆弱性およびクロスサイト・リクエスト・フォージェリの脆弱性が存在します。

■脆弱性がもたらす脅威
オープンリダイレクトの脆弱性により、ユーザーが意図しないウェブサイトに誘導され、結果としてフィッシングなどの被害にあう可能性があります。
また、クロスサイト・リクエスト・フォージェリの脆弱性により GROWI 内のユーザー情報(名前やメールアドレス等の属性)が、同システム利用中の別のユーザーにより書き換えられる可能性があります。

■対策方法
v3.4.7 以降にアップグレードしてください