公開日: 2021/06/14  最終更新日: 2021/06/14

株式会社WESEEKからの情報

脆弱性識別番号:JVN#95457785
脆弱性タイトル:GROWI における複数の脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊社が提供している GROWI システムにおいて、複数の脆弱性が存在することが判明しました。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:GROWI
該当バージョン:
・GROWI v4.2.20 より前のバージョン

■脆弱性の説明
「GROWI」において、 NoSQL インジェクション の脆弱性が存在します。
「GROWI」において、 認証不備 の脆弱性が存在します。

■脆弱性がもたらす脅威
アクセス可能なユーザによって、データベース内の情報を窃取されたり、改ざんされたりする可能性があります。
ログイン可能なユーザによって、本来アクセス権限のないページを参照される可能性があります。

■対策方法
v4.2.20 以降のバージョンにアップデートしてください。

■アップデート版の入手場所
[GitHub](https://github.com/weseek/growi)
[Docker Hub](https://hub.docker.com/r/weseek/growi/)