Summary

ページコンテンツ取得機能において、認可チェック不備（CWE-284）により非公開情報が取得される可能性が存在します。

An improper authorization issue (CWE-284) in the page content retrieval feature may allow retrieval of non-public information.

Affected versions

• 1.x 系: <= 1.41.0
• 2.x 系: <= 2.41.0

Patched versions

• 1.41.1
• 2.41.1

Description

ページコンテンツ取得機能の一部において、認可チェックの不備により、非公開ページに紐づく処理が実行される可能性がありました。
本脆弱性が悪用された場合、非公開ページのコンテンツや添付ファイル等が第三者に取得されるおそれがあります。
影響を受ける利用者は、修正版へ更新してください。

In part of the page content retrieval feature, insufficient authorization checks could allow processing associated with non-public pages to be executed.
If exploited, the contents and attachments of non-public pages may be obtained by a third party.
Users affected by this vulnerability should update to a fixed version.

Solution

対策方法として、修正版へアップデートしてください。
1.x 系は 1.41.1 以降、2.x 系は 2.41.1 以降に更新してください。

Update to the fixed version.
For the 1.x series, update to 1.41.1 or later. For the 2.x series, update to 2.41.1 or later.

Credits

本脆弱性の報告にあたり、小田切 祥 様 GMOサイバーセキュリティ byイエラエ株式会社 に感謝いたします。

We thank 小田切 祥 of GMO Cybersecurity by Ierae, Inc. for reporting this vulnerability.