CVE-2022-41799

MITJÀ: (4.3)

CVSS3: 3.8

GROWI podria permetre a un atacant remot autenticat obtenir informació sensible, causada per un control d’accés inadequat. Un atacant podria aprofitar aquesta vulnerabilitat per a descarregar les dades markdown de les pàgines configurades com a privades pels altres usuaris i utilitzar aquesta informació per a llançar nous atacs contra el sistema afectat.

Sistemes Afectats

• WESEEK GROWI 4.2.2
• WESEEK GROWI 4.2.1
• WESEEK GROWI 4.2.0
• WESEEK GROWI 4.2.7
• WESEEK GROWI 4.2.20
• WESEEK GROWI 4.5.15

Remediació
Actualitzi a l’última versió de GROWI (5.1.4 o posterior), disponible en el repositori GIT de GROWI.

Referències

• http://jvn.jp/en/jp/JVN00845253/index.html
• https://github.com/weseek/growi/
• https://growi.org/en/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41799