GROWI に複数の脆弱性

　独立行政法人情報処理推進機構（IPA）および一般社団法人JPCERT コーディネーションセンター（JPCERT/CC）は12月13日、GROWI における複数の脆弱性について「Japan Vulnerability Notes（JVN）」で発表した。NTT-ME システムオペレーションセンタの梶原翔氏と板垣卓氏、筑波大学の高山尚樹氏、GMOサイバーセキュリティ byイエラエ株式会社の西谷完太氏と小田切祥氏と藤井翼 (@reinforchu) 氏、株式会社カンムの宮口直也氏、株式会社Flatt Securityの齋藤徳秀氏と森瑛司氏、株式会社ブロードバンドセキュリティの志賀拓馬氏、三井物産セキュアディレクション株式会社の東内裕二氏と米山俊嗣氏が報告を行っている。影響を受けるシステムは以下の通り。

・CVE-2023-42436
GROWI v3.4.0 より前のバージョン

・CVE-2023-45737
GROWI v3.5.0 より前のバージョン

・CVE-2023-45740
GROWI v4.1.3 より前のバージョン

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 より前のバージョン

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 より前のバージョン

・CVE-2023-50339
GROWI v6.1.11 より前のバージョン

　株式会社WESEEKが提供する GROWI には、下記の影響を受ける可能性がある複数の脆弱性が存在する。

・プレゼンテーション機能における格納型クロスサイトスクリプティング（CVE-2023-42436）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown) における格納型クロスサイトスクリプティング（CVE-2023-45737）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・プロフィール画像の処理における格納型クロスサイトスクリプティング（CVE-2023-45740）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ（CVE-2023-46699）
→当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ユーザの意図しない設定変更が行われる

・XSS Filter の挙動を悪用した格納型クロスサイトスクリプティング（CVE-2023-47215）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・img タグによる格納型クロスサイトスクリプティング（CVE-2023-49119）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・イベントハンドラにおける格納型クロスサイトスクリプティング（CVE-2023-49598）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・コメント機能における格納型クロスサイトスクリプティング（CVE-2023-49779）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・MathJax の処理に起因した格納型クロスサイトスクリプティング（CVE-2023-49807）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング（CVE-2023-50175）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

・アプリ設定 (/admin/app) における Secret access key の平文表示（CVE-2023-50294）
→管理画面にアクセス可能な攻撃者によって外部サービスの Secret access key を取得される

・ユーザー管理 (/admin/users) における不適切な認可（CVE-2023-50332）
→ユーザが意図せず自身のアカウントを削除または停止させられる

・セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング（CVE-2023-50339）
→当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される

　JVNでは、開発者が提供する情報をもとに最新版にアップデートするよう呼びかけている。各脆弱性は下記バージョンで修正されている。

・CVE-2023-42436
GROWI v3.4.0 およびそれ以降

・CVE-2023-45737
GROWI v3.5.0 およびそれ以降

・CVE-2023-45740
GROWI v4.1.3 およびそれ以降

・CVE-2023-46699、CVE-2023-47215、CVE-2023-49119、CVE-2023-49598、CVE-2023-49779、CVE-2023-49807、CVE-2023-50175
GROWI v6.0.0 およびそれ以降

・CVE-2023-50294、CVE-2023-50332
GROWI v6.0.6 およびそれ以降

・CVE-2023-50339
GROWI v6.1.11 およびそれ以降