GROWI に複数の脆弱性 | ScanNetSecurity
2026.01.02(金)

GROWI に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月17日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
221 views
facebookLINE
 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月17日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社Flatt Securityのstypr氏が報告を行っている。影響を受けるシステムは以下の通り。

CVE-2021-20667, CVE-2021-20668, CVE-2021-20669, CVE-2021-20670, CVE-2021-20671
GROWI v4.2.2 およびそれ以前

CVE-2021-20829
GROWI v4.2.19 およびそれ以前

 株式会社WESEEK が提供する GROWI には、複数の脆弱性が存在し、下記のような影響を受ける可能性がある。

・格納型クロスサイトスクリプティング(CVE-2021-20667)
→CSP (Content Security Policy) の設定不備により、特別に細工されたコンテンツを含む添付ファイルを参照したユーザのブラウザ上で、任意のスクリプトが実行される

・パストラバーサル(CVE-2021-20668)
→管理者権限を持つ遠隔の攻撃者によって特別に細工された URL から当該製品にアクセスされることで、システム上の任意のファイルを読み出される

・パストラバーサル (CVE-2021-20669)
→管理者権限を持つ遠隔の攻撃者によって特別に細工されたリクエストが送信されることで、システム上の任意のファイルを読み出されたり削除されたりする

・アクセス制限の不備(CVE-2021-20670)
→ファイルに対するアクセス制限の不備により、遠隔の第三者によって認証を経ずにユーザの個人情報やサーバの内部情報を読み出される

・不適切な入力検証(CVE-2021-20671)
→アップロード機能におけるファイル検証の不備により、管理者権限を持つ遠隔の攻撃者にシステム上のファイルを上書きされる。結果として任意のコードが実行される

・クロスサイトスクリプティング(CVE-2021-20829)
→タグの不適切な処理により、特別に細工されたページを参照したユーザのブラウザ上で、任意のスクリプトが実行される

 WESEEKでは、本脆弱性を修正した「GROWI v4.2.20」をリリースしており、アップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

    fjコンサル「キャッシュレスセキュリティレポート 2023年1Q」公表、カード情報流出件数 173,332件

  2. 41歳コンビニ店長の転職

    41歳コンビニ店長の転職PR

  3. HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

    HENNGE One、iPad 受付システム「Smart at reception」へ SSO 連携

  4. 請求者に「百条委員会の中で、会議録は非公開の部分ではと思います」は市議会会議規則第113条第2項に違反

    請求者に「百条委員会の中で、会議録は非公開の部分ではと思います」は市議会会議規則第113条第2項に違反

  5. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP