GROWI に複数の脆弱性 | ScanNetSecurity
2024.04.28(日)

GROWI に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
facebookLINE

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NTT-ME システムオペレーションセンタの梶原翔氏と板垣卓氏、筑波大学の高山尚樹氏、GMOサイバーセキュリティ byイエラエ株式会社の西谷完太氏と小田切祥氏と藤井翼 (@reinforchu) 氏、株式会社カンムの宮口直也氏、株式会社Flatt Securityの齋藤徳秀氏と森瑛司氏、株式会社ブロードバンドセキュリティの志賀拓馬氏、三井物産セキュアディレクション株式会社の東内裕二氏と米山俊嗣氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-42436
GROWI v3.4.0 より前のバージョン

・CVE-2023-45737
GROWI v3.5.0 より前のバージョン

・CVE-2023-45740
GROWI v4.1.3 より前のバージョン

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 より前のバージョン

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 より前のバージョン

・CVE-2023-50339
GROWI v6.1.11 より前のバージョン

 株式会社WESEEKが提供する GROWI には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・プレゼンテーション機能における格納型クロスサイトスクリプティング(CVE-2023-42436)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown) における格納型クロスサイトスクリプティング(CVE-2023-45737)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・プロフィール画像の処理における格納型クロスサイトスクリプティング(CVE-2023-45740)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ(CVE-2023-46699)
→当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ユーザの意図しない設定変更が行われる

・XSS Filter の挙動を悪用した格納型クロスサイトスクリプティング(CVE-2023-47215)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・img タグによる格納型クロスサイトスクリプティング(CVE-2023-49119)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・イベントハンドラにおける格納型クロスサイトスクリプティング(CVE-2023-49598)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・コメント機能における格納型クロスサイトスクリプティング(CVE-2023-49779)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・MathJax の処理に起因した格納型クロスサイトスクリプティング(CVE-2023-49807)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング(CVE-2023-50175)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app) における Secret access key の平文表示(CVE-2023-50294)
→管理画面にアクセス可能な攻撃者によって外部サービスの Secret access key を取得される

・ユーザー管理 (/admin/users) における不適切な認可(CVE-2023-50332)
→ユーザが意図せず自身のアカウントを削除または停止させられる

・セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング(CVE-2023-50339)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

 JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。各脆弱性は下記バージョンで修正されている。

・CVE-2023-42436
GROWI v3.4.0 およびそれ以降

・CVE-2023-45737
GROWI v3.5.0 およびそれ以降

・CVE-2023-45740
GROWI v4.1.3 およびそれ以降

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 およびそれ以降

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 およびそれ以降

・CVE-2023-50339
GROWI v6.1.11 およびそれ以降

《ScanNetSecurity》

関連記事

関連リンク

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. 重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

    重い 高い 検索も使いにくいメールを企業の 6 割が使う理由

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. 札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

    札幌で「CSIRT のはじめ方」ワークショップ 5/16 開催、北海道在勤在住者は参加費 5 万円が無料

  7. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  8. TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

    TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

  9. NETGEAR 製ルータにバッファオーバーフローの脆弱性

    NETGEAR 製ルータにバッファオーバーフローの脆弱性

  10. NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

    NDIAS「車載器向けセキュリティ技術要件集」活用したコンサルサービス提供

ランキングをもっと見る
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP