株式会社WESEEKが提供する GROWI には、次に挙げる複数の脆弱性が存在します。
・プレゼンテーション機能における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-42436
・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown) における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-45737
・プロフィール画像の処理における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-45740
・ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ (CWE-352) – CVE-2023-46699
・XSS Filter の挙動を悪用した格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-47215
・img タグによる格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-49119
・イベントハンドラにおける格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-49598
・コメント機能における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-49779
・MathJax の処理に起因した格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-49807
・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-50175
・アプリ設定 (/admin/app) における Secret access key の平文表示 (CWE-312) – CVE-2023-50294
・ユーザー管理 (/admin/users) における不適切な認可 (CWE-285) – CVE-2023-50332
・セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-50339
詳細:https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-000123.html