株式会社WESEEKからの情報

■概要
弊社が提供している GROWI システム (v3.2.3 以前) において、クロスサイトスクリプティングを誘発するバグが存在することが判明しました。

このバグにより、誤った設定のまま GROWI システムが運用される可能性が生じます。
その場合 GROWI が出力するページをブラウザで閲覧した際に、埋め込まれた JavaScript が実行される可能性があります。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称：GROWI
該当バージョン：v3.2.3 およびそれ以前

■脆弱性の説明
「GROWI」において、クロスサイト・スクリプティングの脆弱性が存在します。

■脆弱性がもたらす脅威
誤った設定のまま GROWI が出力するページをブラウザで閲覧した際に、埋め込まれた JavaScript が実行される可能性があります。

■対策方法
次のいずれかの⽅法で対策を⾏ってください。

a. v3.2.5 以降にアップグレードしてください
　なお、本脆弱性の修正とは別に、v3.2.5 では「アドレスバーに入力したURLを New Page Modal で処理する際にクロスサイトスクリプティングが可能になる脆弱性」が修正されています。

b. 以下のワークアラウンドを実施してください
　v3.1.12 以降のバージョンを利用していて、何らかの理由でアップデートできない、あるいはアップデートが困難
である場合、管理者アカウントでログイン後、以下の操作を行ってください。

1. マークダウン設定画面(/admin/markdown)にアクセス
2. 「XSSを抑制する」オプションを一旦OFFに切り替え、設定を保存
3. 「XSSを抑制する」オプションを再びONに切り替え、「おすすめ設定」を選択して設定を保存