公開日: 2018/12/26  最終更新日: 2018/12/26

株式会社WESEEKからの情報

脆弱性識別番号:JVN#96493183
脆弱性タイトル:GROWI におけるクロスサイトスクリプティングの脆弱性
ステータス:該当製品あり

以下の情報は、製品開発者から JVN に提供されたものです。

■概要
弊社が提供している GROWI システム (v3.2.3 以前) において、クロスサイトスクリプティングを誘発するバグが存在することが判明しました。

このバグにより、誤った設定のまま GROWI システムが運用される可能性が生じます。
その場合 GROWI が出力するページをブラウザで閲覧した際に、埋め込まれた JavaScript が実行される可能性があります。

■該当製品の確認方法
影響を受ける製品は以下の通りです。
製品名称:GROWI
該当バージョン:v3.2.3 およびそれ以前

■脆弱性の説明
「GROWI」において、クロスサイト・スクリプティングの脆弱性が存在します。

■脆弱性がもたらす脅威
誤った設定のまま GROWI が出力するページをブラウザで閲覧した際に、埋め込まれた JavaScript が実行される可能性があります。

■対策方法
次のいずれかの⽅法で対策を⾏ってください。

a. v3.2.5 以降にアップグレードしてください
 なお、本脆弱性の修正とは別に、v3.2.5 では「アドレスバーに入力したURLを New Page Modal で処理する際にクロスサイトスクリプティングが可能になる脆弱性」が修正されています。

b. 以下のワークアラウンドを実施してください
 v3.1.12 以降のバージョンを利用していて、何らかの理由でアップデートできない、あるいはアップデートが困難
である場合、管理者アカウントでログイン後、以下の操作を行ってください。

1. マークダウン設定画面(/admin/markdown)にアクセス
2. 「XSSを抑制する」オプションを一旦OFFに切り替え、設定を保存
3. 「XSSを抑制する」オプションを再びONに切り替え、「おすすめ設定」を選択して設定を保存