GROWI に複数の脆弱性 | ScanNetSecurity
2026.05.19(火)

GROWI に複数の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
1047 views
facebookLINE

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。NTT-ME システムオペレーションセンタの梶原翔氏と板垣卓氏、筑波大学の高山尚樹氏、GMOサイバーセキュリティ byイエラエ株式会社の西谷完太氏と小田切祥氏と藤井翼 (@reinforchu) 氏、株式会社カンムの宮口直也氏、株式会社Flatt Securityの齋藤徳秀氏と森瑛司氏、株式会社ブロードバンドセキュリティの志賀拓馬氏、三井物産セキュアディレクション株式会社の東内裕二氏と米山俊嗣氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-42436
GROWI v3.4.0 より前のバージョン

・CVE-2023-45737
GROWI v3.5.0 より前のバージョン

・CVE-2023-45740
GROWI v4.1.3 より前のバージョン

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 より前のバージョン

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 より前のバージョン

・CVE-2023-50339
GROWI v6.1.11 より前のバージョン

 株式会社WESEEKが提供する GROWI には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・プレゼンテーション機能における格納型クロスサイトスクリプティング(CVE-2023-42436)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown) における格納型クロスサイトスクリプティング(CVE-2023-45737)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・プロフィール画像の処理における格納型クロスサイトスクリプティング(CVE-2023-45740)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ(CVE-2023-46699)
→当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ユーザの意図しない設定変更が行われる

・XSS Filter の挙動を悪用した格納型クロスサイトスクリプティング(CVE-2023-47215)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・img タグによる格納型クロスサイトスクリプティング(CVE-2023-49119)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・イベントハンドラにおける格納型クロスサイトスクリプティング(CVE-2023-49598)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・コメント機能における格納型クロスサイトスクリプティング(CVE-2023-49779)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・MathJax の処理に起因した格納型クロスサイトスクリプティング(CVE-2023-49807)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング(CVE-2023-50175)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app) における Secret access key の平文表示(CVE-2023-50294)
→管理画面にアクセス可能な攻撃者によって外部サービスの Secret access key を取得される

・ユーザー管理 (/admin/users) における不適切な認可(CVE-2023-50332)
→ユーザが意図せず自身のアカウントを削除または停止させられる

・セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング(CVE-2023-50339)
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

 JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。各脆弱性は下記バージョンで修正されている。

・CVE-2023-42436
GROWI v3.4.0 およびそれ以降

・CVE-2023-45737
GROWI v3.5.0 およびそれ以降

・CVE-2023-45740
GROWI v4.1.3 およびそれ以降

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 およびそれ以降

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 およびそれ以降

・CVE-2023-50339
GROWI v6.1.11 およびそれ以降

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. デンソーグループのイタリア・モロッコ拠点に不正アクセス

    デンソーグループのイタリア・モロッコ拠点に不正アクセス

  2. Webメール「Active!mail」に海外IPアドレスからDDoS攻撃

    Webメール「Active!mail」に海外IPアドレスからDDoS攻撃

  3. Windows DNS クライアントにリモートでコードが実行される脆弱性

    Windows DNS クライアントにリモートでコードが実行される脆弱性

  4. 中学校教員 コインロッカーの鍵かけ忘れ 端末と鍵 盗難被害

    中学校教員 コインロッカーの鍵かけ忘れ 端末と鍵 盗難被害

  5. 今日もどこかで情報漏えい 第48回「2026年4月の情報漏えい」“非表示シート Excel 警察” 待望論

    今日もどこかで情報漏えい 第48回「2026年4月の情報漏えい」“非表示シート Excel 警察” 待望論

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP