Plataforma
nodejs
Componente
growi
Corregido en
7.3.4
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (XSRF) en GROWI, afectando a versiones 7.3.3 y anteriores. Esta vulnerabilidad permite a un atacante, mediante la manipulación de una página maliciosa, engañar a un usuario autenticado para que realice acciones no deseadas. La actualización a la versión 7.3.4 corrige esta vulnerabilidad. La vulnerabilidad fue publicada el 17 de diciembre de 2025.
La vulnerabilidad XSRF en GROWI permite a un atacante ejecutar acciones en nombre de un usuario autenticado sin su conocimiento o consentimiento. Esto podría incluir la modificación de datos, la eliminación de contenido o la realización de cambios en la configuración de GROWI. Un atacante podría, por ejemplo, crear un enlace malicioso que, al ser visitado por un usuario autenticado, modifique la configuración de la instancia de GROWI, comprometiendo la seguridad de la plataforma. La severidad de este impacto depende del nivel de privilegios del usuario afectado y de la sensibilidad de los datos almacenados en GROWI.
La vulnerabilidad CVE-2025-64700 se ha hecho pública el 17 de diciembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos al momento de la publicación. La probabilidad de explotación se considera baja a moderada, dado que requiere que un usuario autenticado visite un sitio web malicioso. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations using GROWI for knowledge management, particularly those with multiple users or administrator accounts, are at risk. Environments with weak password policies or a lack of MFA are especially vulnerable. Shared hosting environments where multiple GROWI instances reside on the same server should also be considered at higher risk.
• nodejs / server:
npm audit growi• generic web:
curl -I https://your-growi-instance/ | grep -i 'content-security-policy'• generic web:
grep -r "/growi/api/" /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar GROWI a la versión 7.3.4 o superior, donde se ha corregido el problema. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación estricta de los tokens CSRF en todas las solicitudes críticas. Además, se aconseja educar a los usuarios sobre los riesgos de los enlaces sospechosos y la importancia de verificar la URL antes de realizar cualquier acción. Después de la actualización, confirme la corrección revisando los logs de GROWI en busca de intentos de ataques XSRF.
Actualice GROWI a una versión posterior a la 7.3.3. Esto solucionará la vulnerabilidad de Cross-Site Request Forgery (CSRF). Consulte las notas de la versión para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
v7.3.3 y anteriores?CVE-2025-64700 es una vulnerabilidad de Cross-Site Request Forgery (XSRF) que afecta a GROWI versiones 7.3.3 y anteriores, permitiendo a atacantes realizar acciones no autorizadas.
v7.3.3 y anteriores?Si está utilizando GROWI en una versión anterior a 7.3.4, es vulnerable a esta vulnerabilidad XSRF.
v7.3.3 y anteriores?La solución es actualizar GROWI a la versión 7.3.4 o superior. Si la actualización no es posible, implemente medidas de seguridad adicionales como la validación de tokens CSRF.
Al momento de la publicación, no se han reportado exploits públicos activos, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Consulte la página de seguridad de GROWI o sus canales de comunicación oficiales para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.