株式会社WESEEKからの情報
脆弱性識別番号:JVN#18715935
脆弱性タイトル:GROWI における複数の脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
■概要
- 弊社が提供している GROWI システムの v6.1.11 より前のバージョンおいて、複数の脆弱性が存在することが判明しました。
■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:GROWI
[1]プレゼンテーション機能でのXSS
- 該当バージョン:v3.4.0 より前のバージョン
[2]JSONがサーバサイドで生成され、かつJSON内のデータがhtml escapeされていないことを利用したXSS
- 該当バージョン:v3.5.0 より前のバージョン
[3]アップロードされたファイル(プロフィール画像)でのXSS
- 該当バージョン:v4.1.3 より前のバージョン
以下[4]~[10]の脆弱性:
- 該当バージョン:v6.0.0 より前のバージョン
[4]ユーザー設定画面(/me)におけるCSRF
[5]XSS Filterの挙動を利用したXSS
[6]imgタグによるStored XSS
[7]preタグのイベントハンドラによるStored XSS
[8]aタグによるStored XSS
[9]MathJaxによるStored XSS
[10]アプリ設定(/admin/app)、マークダウン設定(/admin/markdown)、カスタマイズ(/admin/customize)における格納型クロスサイトスクリプティング
以下[11]~[12]の脆弱性:
- 該当バージョン:v6.0.6 より前のバージョン
[11]アプリ設定(/admin/app)における Secret access key の平文表示
[12]ユーザー管理(/admin/users)における未想定のアカウント削除や停止
[13]セキュリティ設定(/admin/security)における登録許可メールアドレスのホワイトリストのXSS
- 該当バージョン:v6.1.11 より前のバージョン
■脆弱性の説明
- 「GROWI」において、クロスサイト・スクリプティングの脆弱性が存在します。
- 「GROWI」において、CSRF(クロスサイト・リクエスト・フォージェリ)の脆弱性が存在します。
- 「GROWI」において、Secret access key の取得可能性が存在します。
- 「GROWI」において、未想定のアカウント削除や停止の可能性が存在します。
■脆弱性がもたらす脅威
- 悪意のあるスクリプトを挿入/実行されることにより、偽ページの表示やCookieの意図しない取得/保存をさせられる可能性があります。
- 外部サイトを経由した悪意のあるリクエストを受け入れてしまうことによって、ログイン後の利用者のみが利用可能なサービスの悪用やログイン後の利用者のみが編集可能な情報の改ざん/新規登録をさせられる可能性があります。
- XSS 等により管理画面(/admin)に不正にログインした悪意のあるユーザーが Secret access key を取得することによって情報の取得や外部リソースの不正利用の可能性があります。
- XSS 等により管理画面(/admin)に不正にログインした悪意のあるユーザーが乗っ取ったアカウントの削除や停止をする可能性があります。
■対策
[1]プレゼンテーション機能でのXSS
- GROWI を v3.4.0 以降のバージョンにアップデートしてください。
[2]JSONがサーバサイドで生成され、かつJSON内のデータがhtml escapeされていないことを利用したXSS
- GROWI を v3.5.0 以降のバージョンにアップデートしてください。
[3]アップロードされたファイル(プロフィール画像)でのXSS
- GROWI を v4.1.3 以降のバージョンにアップデートしてください。
以下[4]~[10]の脆弱性:
- GROWI を v6.0.0 以降のバージョンにアップデートしてください。
[4]ユーザー設定画面(/me)におけるCSRF
[5]XSS Filterの挙動を利用したXSS
[6]imgタグによるStored XSS
[7]preタグのイベントハンドラによるStored XSS
[8]aタグによるStored XSS
[9]MathJaxによるStored XSS
[10]アプリ設定(/admin/app)、マークダウン設定(/admin/markdown)、カスタマイズ(/admin/customize)における格納型クロスサイトスクリプティング
以下[11]~[12]の脆弱性:
- GROWI を v6.0.6 以降のバージョンにアップデートしてください。
[11]アプリ設定(/admin/app)における Secret access key の平文表示
[12]ユーザー管理(/admin/users)における未想定のアカウント削除や停止
[13]セキュリティ設定(/admin/security)における登録許可メールアドレスのホワイトリストのXSS
- GROWI を v6.1.11 以降のバージョンにアップデートしてください。
■アップデート版の入手場所
- GitHub(https://github.com/weseek/growi/)
- Docker Hub(https://hub.docker.com/r/weseek/growi/)