JVN#46526244:GROWI存在跨站脚本漏洞
概述
GROWI公司提供的GROWI软件存在跨站脚本漏洞。
受影响产品
- GROWI v4.2.7及更早版本
漏洞描述
GROWI公司提供的GROWI软件存在以下漏洞:
页面警报功能中的跨站脚本漏洞(CWE-79)
CVSS评分:
- CVSS 4.0:基础分数5.1(AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N)
- CVSS 3.0:基础分数6.1(AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N)
- CVE编号:CVE-2025-54806
影响
如果用户在登录受影响产品时访问特制的URL,可能会在其Web浏览器上执行任意脚本。
解决方案
更新软件
根据开发商提供的信息,将软件更新至最新版本。开发商已发布以下版本来修复此漏洞:
GROWI v4.2.8
更多详细信息,请参考开发商提供的信息。
厂商状态
| 厂商 | 状态 | 最后更新 | 厂商说明 |
|---|---|---|---|
| GROWI公司 | 存在漏洞 | 2025/10/22 | GROWI公司网站 |
参考信息
- CVE:CVE-2025-54806
- JVN iPedia:JVNDB-2025-000084
致谢
GROWI公司向JPCERT/CC报告了此漏洞,通过JVN向用户通知解决方案。JPCERT/CC和GROWI公司在信息安全早期预警伙伴关系下进行了协调。