GROWI に複数の脆弱性 | ScanNetSecurity
2025.10.24(金)

GROWI に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NTT-ME システムオペレーションセンタの梶原翔氏と板垣卓氏、筑波大学の高山尚樹氏、GMOサイバーセキュリティ byイエラエ株式会社の西谷完太氏と小田切祥氏と藤井翼 (@reinforchu) 氏、株式会社カンムの宮口直也氏、株式会社Flatt Securityの齋藤徳秀氏と森瑛司氏、株式会社ブロードバンドセキュリティの志賀拓馬氏、三井物産セキュアディレクション株式会社の東内裕二氏と米山俊嗣氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-42436
GROWI v3.4.0 より前のバージョン

・CVE-2023-45737
GROWI v3.5.0 より前のバージョン

・CVE-2023-45740
GROWI v4.1.3 より前のバージョン

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 より前のバージョン

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 より前のバージョン

・CVE-2023-50339
GROWI v6.1.11 より前のバージョン

 株式会社WESEEKが提供する GROWI には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・プレゼンテーション機能における格納型クロスサイトスクリプティング(CVE-2023-42436)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown) における格納型クロスサイトスクリプティング(CVE-2023-45737)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・プロフィール画像の処理における格納型クロスサイトスクリプティング(CVE-2023-45740)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ(CVE-2023-46699)
→当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ユーザの意図しない設定変更が行われる

・XSS Filter の挙動を悪用した格納型クロスサイトスクリプティング(CVE-2023-47215)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・img タグによる格納型クロスサイトスクリプティング(CVE-2023-49119)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・イベントハンドラにおける格納型クロスサイトスクリプティング(CVE-2023-49598)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・コメント機能における格納型クロスサイトスクリプティング(CVE-2023-49779)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・MathJax の処理に起因した格納型クロスサイトスクリプティング(CVE-2023-49807)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング(CVE-2023-50175)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app) における Secret access key の平文表示(CVE-2023-50294)
→管理画面にアクセス可能な攻撃者によって外部サービスの Secret access key を取得される

・ユーザー管理 (/admin/users) における不適切な認可(CVE-2023-50332)
→ユーザが意図せず自身のアカウントを削除または停止させられる

・セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング(CVE-2023-50339)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

 JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。各脆弱性は下記バージョンで修正されている。

・CVE-2023-42436
GROWI v3.4.0 およびそれ以降

・CVE-2023-45737
GROWI v3.5.0 およびそれ以降

・CVE-2023-45740
GROWI v4.1.3 およびそれ以降

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 およびそれ以降

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 およびそれ以降

・CVE-2023-50339
GROWI v6.1.11 およびそれ以降

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

    関与していた元社員とは未だ連絡取れず ~ 京都市内で保険申込書写し 計 632 枚拾得

  2. 「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

    「漏えい情報を復号できないため報告を要しない(個人情報保護委員会)」ランサムウェアの前に全データを暗号化するソリューションで保険代理店の顧客情報守られる

  3. 廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

    廃棄委託したノートパソコンが短時間ネット接続 ~ 監視ツールが検知

  4. 「ランサムウェア被害ゼロ」電算システムが語る ChromeOS のセキュリティ設計とコスト優位性

    「ランサムウェア被害ゼロ」電算システムが語る ChromeOS のセキュリティ設計とコスト優位性PR

  5. 刑事告訴検討 ~ ヤマト運輸の元従業員が取引先企業に関する情報の一部を不正に持ち出し 2 社に流出

    刑事告訴検討 ~ ヤマト運輸の元従業員が取引先企業に関する情報の一部を不正に持ち出し 2 社に流出

ランキングをもっと見る
PageTop