弊社がOSSとして提供しているGROWIにおいて、複数の脆弱性が判明しました。 脆弱性はGROWI最新バージョンで修正済みであり、またサービスをご利用中の全てのGROWI Appに対して対策されたバージョンへのバージョンアップを完了しております。

v4.2.20より前のバージョンへの影響

1. アクセス可能なユーザによる、データベース内の情報の窃取や改ざんの可能性
2. ログイン可能なユーザによる、本来アクセス権限のないページを参照される可能性

GROWI.cloud 側で行った対応

GROWIバージョンv4.2.20にて、既に脆弱性の修正が完了しております。

GROWI.cloudにおいては、2021年6月9日にGROWI.cloud上で作成されたすべてのGROWIに対して、 対策されたバージョンv4.2.20への強制アップグレードを実施いたしました。 現在ご選択いただけるバージョンもv4.2.20のみとなっております。

※ユーザ様の対応は必要ございません。

詳しくはこちらをご参照ください。

• https://growi.cloud/news/81

セキュリティ脆弱性の詳細

CVE, JVN が公開している以下のセキュリティアドバイザリ

• JVN#95457785

今後もよりよいサービスの提供が行えますよう、精一杯努めて参ります。 引き続き変わらぬご愛顧のほどよろしくお願い申し上げます。