公開日:
2021/03/10 最終更新日:
2021/03/10
株式会社WESEEKからの情報
脆弱性識別番号:JVN#86438134
脆弱性タイトル:GROWI における複数のクロスサイトスクリプティングの脆弱性
ステータス:該当製品あり
以下の情報は、製品開発者から JVN に提供されたものです。
■概要
弊社が提供している GROWI システムにおいて、クロスサイトスクリプティングを誘発するバグが複数存在することが判明しました。
■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:GROWI
該当バージョン:
・GROWI v4.2.0 から v4.2.7 までのバージョン
■脆弱性の説明
「GROWI」において、クロスサイト・スクリプティングの脆弱性が存在します。
■脆弱性がもたらす脅威
GROWI が出力するページをブラウザで閲覧した際に、埋め込まれた JavaScript が実行される可能性があります。
■対策
GROWI を v4.2.8 以降のバージョンにアップデートしてください。
■アップデート版の入手場所
[GitHub](https://github.com/weseek/growi)
[Docker Hub](https://hub.docker.com/r/weseek/growi/)