独立行政法人 情報処理推進機構(IPA)および一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は6月7日、株式会社WESEEKが提供するオープンソースのWikiベースとしたコミュニケーションツール「GROWI」に複数の脆弱性が存在すると「Japan Vulnerability Notes(JVN)」で発表した。CVSS v3による最大Base Scoreは4.7。株式会社ディーカレットのセキュリティグループが報告を行った。
「GROWI v3.4.6 およびそれ以前」には、「ユーザーの基本情報」の更新処理におけるクロスサイトリクエストフォージェリの脆弱性(CVE-2019-5968)、およびログイン時の処理におけるオープンリダイレクトの脆弱性(CVE-2019-5969)が存在する。これらの脆弱性が悪用されると、意図しない操作をさせられたり(CVE-2019-5968)、任意のWebサイトにリダイレクトされる(CVE-2019-5969)可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
「GROWI v3.4.6 およびそれ以前」には、「ユーザーの基本情報」の更新処理におけるクロスサイトリクエストフォージェリの脆弱性(CVE-2019-5968)、およびログイン時の処理におけるオープンリダイレクトの脆弱性(CVE-2019-5969)が存在する。これらの脆弱性が悪用されると、意図しない操作をさせられたり(CVE-2019-5968)、任意のWebサイトにリダイレクトされる(CVE-2019-5969)可能性がある。JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。
当時の記事を読む
-
メーラー「Joruri Mail」に複数の脆弱性(JVN)
-
2つのWordPress用プラグインに複数の脆弱性、アップデートを呼びかけ(JVN)
-
「Joruri CMS 2017」にスクリプト実行の脆弱性(JVN)
-
Windowsリモートデスクトップに、ロックスクリーンを回避される脆弱性(JVN)
-
Minecraftサーバ向けプラグイン「Dynmap」に画像を取得される脆弱性(JVN)
-
WordPress用プラグイン「Contest Gallery」に意図しない操作される脆弱性(JVN)
-
Google セキュリティ保証チーム 脆弱性事件簿
-
Intelがアドバイザリを公開、対象製品はアップデートを(JVN)
