株式会社WESEEKからの情報

■概要

弊社が公開している GROWI システム において、複数の脆弱性が含まれることが判明しました。

■該当製品の確認方法

影響を受ける製品は以下の通りです。
製品名称：GROWI

該当バージョン：

CVE-2020-5682
・GROWI v4.2.3 よりも前のバージョン (v4.2.x)
・GROWI v4.1.12 よりも前のバージョン (v4.1.x)
・GROWI v3系および、それ以前のバージョン

CVE-2020-5683
・GROWI v4.2.3 よりも前のバージョン (v4.2.x)
・GROWI v4.1.12 よりも前のバージョン (v4.1.x)
・GROWI v3系および、それ以前のバージョン

■脆弱性の説明

⼊⼒値の検証不備に起因するサービス運⽤妨害(DoS)攻撃の脆弱性が存在します。
アップロードファイルの検証不備に起因するディレクトリトラバーサルの脆弱性が存在します。

■脆弱性がもたらす脅威

サービス運⽤妨害 (DoS) 攻撃を受ける可能性があります。
細⼯されたファイルをアップロードされた場合、データが改ざんされる可能性があります。

■対策

v4.2.x を使用しているユーザーは v4.2.3 以降のバージョンにアップデートしてください。
v4.1.x を使用しているユーザーは v4.1.12 以降のバージョンにアップデートしてください。

■アップデート版の入手場所

[GitHub](https://github.com/weseek/growi)
[Docker Hub](https://hub.docker.com/r/weseek/growi/)