概要
弊社が提供している GROWI システムにおいて、脆弱性が判明いたしました。
以下の影響があります。
- GROWI において、クロスサイト・スクリプティングの脆弱性が存在します。
- 悪意のあるスクリプトを挿入/実行されることにより、偽ページの表示やCookieの意図しない取得/保存をさせられる可能性があります。
- GROWI において、CSRF(クロスサイト・リクエスト・フォージェリ)の脆弱性が存在します。
- 外部サイトを経由した悪意のあるリクエストを受け入れてしまうことによって、ログイン後の利用者のみが利用可能なサービスの悪用やログイン後の利用者のみが編集可能な情報の改ざん/新規登録をさせられる可能性があります。
- GROWI において、Secret access key の取得可能性が存在します。
- XSS 等により管理画面に不正にログインした攻撃者が Secret access key を取得することによって情報の取得や外部リソースの不正利用の可能性があります。
- GROWI において、未想定のアカウント削除や停止の可能性が存在します。
- XSS 等により管理画面に不正にログインした攻撃者が乗っ取ったアカウントの削除や停止をする可能性があります。
以下のバージョンが影響を受けます。
v6.1.11 にて修正対応が完了しております。 該当するバージョンをご利用中の方はアップデートをお願いいたします。
セキュリティ脆弱性の詳細
CVE, JVN が公開している以下のセキュリティアドバイザリ
対策
- GROWI を v6.1.11 あるいはそれ以降のバージョンにアップデートしてください。
アップデート版の入手場所
謝辞
これらの脆弱性情報は、情報セキュリティ早期警告パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
また、WESEEK, Inc. と JPCERT/CC が連携し JVN への公表を行いました。
ご報告いただきました方、ならびにご対応いただきました JPCERT/CC の関係者、皆様に感謝申し上げます。
関連ページ