| Title | GROWI における複数の脆弱性 |
|---|---|
| Summary | 株式会社WESEEK が提供する GROWI には、次の複数の脆弱性が存在します。 * 格納型クロスサイトスクリプティング (CWE-79) - CVE-2021-20667 * パストラバーサル (CWE-22) - CVE-2021-20668 * パストラバーサル (CWE-22) - CVE-2021-20669 * アクセス制限の不備 (CWE-284) - CVE-2021-20670 * 不適切な入力検証 (CWE-20) - CVE-2021-20671 * クロスサイトスクリプティング (CWE-79) - CVE-2021-20829 この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 報告者:株式会社Flatt Security stypr 氏 |
| Possible impacts | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * CSP (Content Security Policy) の設定不備により、特別に細工されたコンテンツを含む添付ファイルを参照したユーザのブラウザ上で、任意のスクリプトが実行される - CVE-2021-20667 * 管理者権限を持つ遠隔の攻撃者によって特別に細工された URL から当該製品にアクセスされることで、システム上の任意のファイルを読み出される - CVE-2021-20668 * 管理者権限を持つ遠隔の攻撃者によって特別に細工されたリクエストが送信されることで、システム上の任意のファイルを読み出されたり削除されたりする - CVE-2021-20669 * ファイルに対するアクセス制限の不備により、遠隔の第三者によって認証を経ずにユーザの個人情報やサーバの内部情報を読み出される - CVE-2021-20670 * アップロード機能におけるファイル検証の不備により、管理者権限を持つ遠隔の攻撃者にシステム上のファイルを上書きされる。結果として任意のコードが実行される - CVE-2021-20671 * •タグの不適切な処理により、特別に細工されたページを参照したユーザのブラウザ上で、任意のスクリプトが実行される - CVE-2021-20829 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正したバージョンをリリースしています。 * GROWI v4.2.20 |
| Publication Date | March 8, 2021, midnight |
| Registration Date | March 9, 2021, 11:18 a.m. |
| Last Update | Sept. 21, 2021, 4:52 p.m. |
| CVSS3.0 : 低 | |
| Score | 3.7 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
| 株式会社WESEEK |
| GROWI v4.2.19 およびそれ以前 |
| GROWI v4.2.2 およびそれ以前 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2021年03月09日] 掲載 |
March 9, 2021, 11:18 a.m. |
| 2 | [2021年09月21日] 概要:内容を更新 CVSS による深刻度:内容を更新 影響を受けるシステム:内容を更新 対策:内容を更新 参考情報:Common Vulnerabilities and Exposures (CVE) (CVE-2021-20829) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20667) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20668) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20669) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20670) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20671) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20829) を追加 |
Sept. 21, 2021, 4:42 p.m. |
| Summary | Stored cross-site scripting vulnerability due to inadequate CSP (Content Security Policy) configuration in GROWI versions v4.2.2 and earlier allows remote authenticated attackers to inject an arbitrary script via a specially crafted content. |
|---|---|
| Publication Date | March 10, 2021, 7:15 p.m. |
| Registration Date | March 11, 2021, 10:01 a.m. |
| Last Update | Nov. 21, 2024, 2:46 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.2 | ||||
| Summary | Path traversal vulnerability in GROWI versions v4.2.2 and earlier allows an attacker with administrator rights to read an arbitrary path via a specially crafted URL. |
|---|---|
| Publication Date | March 10, 2021, 7:15 p.m. |
| Registration Date | March 11, 2021, 10:01 a.m. |
| Last Update | Nov. 21, 2024, 2:46 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.2 | ||||
| Summary | Path traversal vulnerability in GROWI versions v4.2.2 and earlier allows an attacker with administrator rights to read and/or delete an arbitrary path via a specially crafted URL. |
|---|---|
| Publication Date | March 10, 2021, 7:15 p.m. |
| Registration Date | March 11, 2021, 10:01 a.m. |
| Last Update | Nov. 21, 2024, 2:46 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.2 | ||||
| Summary | Improper access control vulnerability in GROWI versions v4.2.2 and earlier allows a remote unauthenticated attacker to read the user's personal information and/or server's internal information via unspecified vectors. |
|---|---|
| Publication Date | March 10, 2021, 7:15 p.m. |
| Registration Date | March 11, 2021, 10:01 a.m. |
| Last Update | Nov. 21, 2024, 2:46 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.2 | ||||
| Summary | Invalid file validation on the upload feature in GROWI versions v4.2.2 allows a remote attacker with administrative privilege to overwrite the files on the server, which may lead to arbitrary code execution. |
|---|---|
| Publication Date | March 10, 2021, 7:15 p.m. |
| Registration Date | March 11, 2021, 10:01 a.m. |
| Last Update | Nov. 21, 2024, 2:46 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:weseek:growi:4.2.2:*:*:*:*:*:*:* | |||||
| Summary | Cross-site scripting vulnerability due to the inadequate tag sanitization in GROWI versions v4.2.19 and earlier allows remote attackers to execute an arbitrary script on the web browser of the user who accesses a specially crafted page. |
|---|---|
| Publication Date | Sept. 21, 2021, 7:15 p.m. |
| Registration Date | Sept. 22, 2021, 10 a.m. |
| Last Update | Nov. 21, 2024, 2:47 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.19 | ||||