GROWI に複数の脆弱性 | ScanNetSecurity
2024.06.13(木)

GROWI に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NTT-ME システムオペレーションセンタの梶原翔氏と板垣卓氏、筑波大学の高山尚樹氏、GMOサイバーセキュリティ byイエラエ株式会社の西谷完太氏と小田切祥氏と藤井翼 (@reinforchu) 氏、株式会社カンムの宮口直也氏、株式会社Flatt Securityの齋藤徳秀氏と森瑛司氏、株式会社ブロードバンドセキュリティの志賀拓馬氏、三井物産セキュアディレクション株式会社の東内裕二氏と米山俊嗣氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-42436
GROWI v3.4.0 より前のバージョン

・CVE-2023-45737
GROWI v3.5.0 より前のバージョン

・CVE-2023-45740
GROWI v4.1.3 より前のバージョン

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 より前のバージョン

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 より前のバージョン

・CVE-2023-50339
GROWI v6.1.11 より前のバージョン

 株式会社WESEEKが提供する GROWI には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・プレゼンテーション機能における格納型クロスサイトスクリプティング(CVE-2023-42436)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown) における格納型クロスサイトスクリプティング(CVE-2023-45737)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・プロフィール画像の処理における格納型クロスサイトスクリプティング(CVE-2023-45740)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ(CVE-2023-46699)
→当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ユーザの意図しない設定変更が行われる

・XSS Filter の挙動を悪用した格納型クロスサイトスクリプティング(CVE-2023-47215)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・img タグによる格納型クロスサイトスクリプティング(CVE-2023-49119)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・イベントハンドラにおける格納型クロスサイトスクリプティング(CVE-2023-49598)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・コメント機能における格納型クロスサイトスクリプティング(CVE-2023-49779)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・MathJax の処理に起因した格納型クロスサイトスクリプティング(CVE-2023-49807)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング(CVE-2023-50175)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app) における Secret access key の平文表示(CVE-2023-50294)
→管理画面にアクセス可能な攻撃者によって外部サービスの Secret access key を取得される

・ユーザー管理 (/admin/users) における不適切な認可(CVE-2023-50332)
→ユーザが意図せず自身のアカウントを削除または停止させられる

・セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング(CVE-2023-50339)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

 JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。各脆弱性は下記バージョンで修正されている。

・CVE-2023-42436
GROWI v3.4.0 およびそれ以降

・CVE-2023-45737
GROWI v3.5.0 およびそれ以降

・CVE-2023-45740
GROWI v4.1.3 およびそれ以降

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 およびそれ以降

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 およびそれ以降

・CVE-2023-50339
GROWI v6.1.11 およびそれ以降

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

  2. 失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

    失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

  3. 6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

    6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

  4. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  5. デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

    デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

  6. 「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備

    「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備

  7. 公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

    公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

  8. 山口県信用保証協会のメールアカウントを不正利用、迷惑メール大量送信確認

    山口県信用保証協会のメールアカウントを不正利用、迷惑メール大量送信確認

  9. PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

    PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

  10. CTFの覇者 市川遼が目指す「GMOイエラエの技術者が攻撃しようとするときに最初にやること全部の完全自動化」~ ネットde診断 for ASM

    CTFの覇者 市川遼が目指す「GMOイエラエの技術者が攻撃しようとするときに最初にやること全部の完全自動化」~ ネットde診断 for ASMPR

ランキングをもっと見る