株式会社WESEEKからの情報

■概要
弊社が提供している GROWI システムにおいて、複数の脆弱性が存在することが判明しました。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称：GROWI
該当バージョン：
・GROWI v4.2.20 より前のバージョン

■脆弱性の説明
「GROWI」において、 NoSQL インジェクション の脆弱性が存在します。
「GROWI」において、 認証不備 の脆弱性が存在します。

■脆弱性がもたらす脅威
アクセス可能なユーザによって、データベース内の情報を窃取されたり、改ざんされたりする可能性があります。
ログイン可能なユーザによって、本来アクセス権限のないページを参照される可能性があります。

■対策方法
v4.2.20 以降のバージョンにアップデートしてください。

■アップデート版の入手場所
[GitHub](https://github.com/weseek/growi)
[Docker Hub](https://hub.docker.com/r/weseek/growi/)