| タイトル | GROWI における複数の脆弱性 |
|---|---|
| 概要 | 株式会社WESEEK が提供する GROWI には、次の複数の脆弱性が存在します。 * 格納型クロスサイトスクリプティング (CWE-79) - CVE-2021-20667 * パストラバーサル (CWE-22) - CVE-2021-20668 * パストラバーサル (CWE-22) - CVE-2021-20669 * アクセス制限の不備 (CWE-284) - CVE-2021-20670 * 不適切な入力検証 (CWE-20) - CVE-2021-20671 * クロスサイトスクリプティング (CWE-79) - CVE-2021-20829 この脆弱性情報は、下記の方が JPCERT/CC に報告し、JPCERT/CC が開発者との調整を行いました。 報告者:株式会社Flatt Security stypr 氏 |
| 想定される影響 | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 * CSP (Content Security Policy) の設定不備により、特別に細工されたコンテンツを含む添付ファイルを参照したユーザのブラウザ上で、任意のスクリプトが実行される - CVE-2021-20667 * 管理者権限を持つ遠隔の攻撃者によって特別に細工された URL から当該製品にアクセスされることで、システム上の任意のファイルを読み出される - CVE-2021-20668 * 管理者権限を持つ遠隔の攻撃者によって特別に細工されたリクエストが送信されることで、システム上の任意のファイルを読み出されたり削除されたりする - CVE-2021-20669 * ファイルに対するアクセス制限の不備により、遠隔の第三者によって認証を経ずにユーザの個人情報やサーバの内部情報を読み出される - CVE-2021-20670 * アップロード機能におけるファイル検証の不備により、管理者権限を持つ遠隔の攻撃者にシステム上のファイルを上書きされる。結果として任意のコードが実行される - CVE-2021-20671 * •タグの不適切な処理により、特別に細工されたページを参照したユーザのブラウザ上で、任意のスクリプトが実行される - CVE-2021-20829 |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正したバージョンをリリースしています。 * GROWI v4.2.20 |
| 公表日 | 2021年3月8日0:00 |
| 登録日 | 2021年3月9日11:18 |
| 最終更新日 | 2021年9月21日16:52 |
| CVSS3.0 : 低 | |
| スコア | 3.7 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:U/C:L/I:L/A:N |
| 株式会社WESEEK |
| GROWI v4.2.19 およびそれ以前 |
| GROWI v4.2.2 およびそれ以前 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2021年03月09日] 掲載 |
2021年3月9日11:18 |
| 2 | [2021年09月21日] 概要:内容を更新 CVSS による深刻度:内容を更新 影響を受けるシステム:内容を更新 対策:内容を更新 参考情報:Common Vulnerabilities and Exposures (CVE) (CVE-2021-20829) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20667) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20668) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20669) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20670) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20671) を追加 参考情報:National Vulnerability Database (NVD) (CVE-2021-20829) を追加 |
2021年9月21日16:42 |
| 概要 | Stored cross-site scripting vulnerability due to inadequate CSP (Content Security Policy) configuration in GROWI versions v4.2.2 and earlier allows remote authenticated attackers to inject an arbitrary script via a specially crafted content. |
|---|---|
| 公表日 | 2021年3月10日19:15 |
| 登録日 | 2021年3月11日10:01 |
| 最終更新日 | 2024年11月21日14:46 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.2 | ||||
| 概要 | Path traversal vulnerability in GROWI versions v4.2.2 and earlier allows an attacker with administrator rights to read an arbitrary path via a specially crafted URL. |
|---|---|
| 公表日 | 2021年3月10日19:15 |
| 登録日 | 2021年3月11日10:01 |
| 最終更新日 | 2024年11月21日14:46 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.2 | ||||
| 概要 | Path traversal vulnerability in GROWI versions v4.2.2 and earlier allows an attacker with administrator rights to read and/or delete an arbitrary path via a specially crafted URL. |
|---|---|
| 公表日 | 2021年3月10日19:15 |
| 登録日 | 2021年3月11日10:01 |
| 最終更新日 | 2024年11月21日14:46 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.2 | ||||
| 概要 | Improper access control vulnerability in GROWI versions v4.2.2 and earlier allows a remote unauthenticated attacker to read the user's personal information and/or server's internal information via unspecified vectors. |
|---|---|
| 公表日 | 2021年3月10日19:15 |
| 登録日 | 2021年3月11日10:01 |
| 最終更新日 | 2024年11月21日14:46 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.2 | ||||
| 概要 | Invalid file validation on the upload feature in GROWI versions v4.2.2 allows a remote attacker with administrative privilege to overwrite the files on the server, which may lead to arbitrary code execution. |
|---|---|
| 公表日 | 2021年3月10日19:15 |
| 登録日 | 2021年3月11日10:01 |
| 最終更新日 | 2024年11月21日14:46 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:weseek:growi:4.2.2:*:*:*:*:*:*:* | |||||
| 概要 | Cross-site scripting vulnerability due to the inadequate tag sanitization in GROWI versions v4.2.19 and earlier allows remote attackers to execute an arbitrary script on the web browser of the user who accesses a specially crafted page. |
|---|---|
| 公表日 | 2021年9月21日19:15 |
| 登録日 | 2021年9月22日10:00 |
| 最終更新日 | 2024年11月21日14:47 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:weseek:growi:*:*:*:*:*:*:*:* | 4.2.19 | ||||