GROWI の OpenAI スレッド・メッセージ API に権限チェック欠如の脆弱性
独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は3月16日、GROWIのOpenAIスレッド・メッセージ APIにおける権限チェック欠如の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。GMOサイバーセキュリティby イエラエ株式会社の小田切祥氏が報告を行っている。影響を受けるシステムは以下の通り。
GROWI v7.4.5およびそれ以前のバージョン
株式会社GROWIが提供するGROWIには、OpenAIスレッド・メッセージ APIにおける権限チェック欠如の脆弱性(CVE-2026-25083)が存在し、攻撃者が共有AIアシスタントの識別子を把握している場合、本脆弱性の影響を受ける。想定される影響としては、当該製品にログインしたユーザが、他のユーザのAIアシスタントのスレッド・メッセージを閲覧したり、改ざんしたりする可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお本脆弱性は、GROWI v7.4.6で修正されている。
GROWI v7.4.5およびそれ以前のバージョン
株式会社GROWIが提供するGROWIには、OpenAIスレッド・メッセージ APIにおける権限チェック欠如の脆弱性(CVE-2026-25083)が存在し、攻撃者が共有AIアシスタントの識別子を把握している場合、本脆弱性の影響を受ける。想定される影響としては、当該製品にログインしたユーザが、他のユーザのAIアシスタントのスレッド・メッセージを閲覧したり、改ざんしたりする可能性がある。
JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。なお本脆弱性は、GROWI v7.4.6で修正されている。
Vocabulary
General
Proper noun
JLPT N2
JLPT N1
| # | 言葉 | 意味 |
|---|---|---|
| 4 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 3 | 影響 | えいきょう (影響) : 1. influence; effect 2. to influence; to affect; to have an influence on; to impact; to have an effect on |
| 2 | および | および (及び) : and; as well as |
| 2 | 権限 | けんげん (権限) : power; authority; jurisdiction |
| 2 | 欠如 | けつじょ (欠如) : lack; absence; shortage; deficiency; privation |
| 2 | 株式会社 | かぶしきがいしゃ (株式会社) : stock company; corporation; kabushiki kaisha; KK |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | 一般社団法人 | いっぱんしゃだんほうじん (一般社団法人) : general incorporated association |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 小田切 | おたき (小田切) : Otaki (unclass) |
| 1 | 氏 | うじ (氏) : 1. family name; lineage; birth 2. clan |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 通り | とおり (通り) : 1. avenue; street; way; road 2. coming and going; street traffic |
| 1 | 以前 | いぜん (以前) : ago; since; before; previous |
| 1 | 存在 | そんざい (存在) : existence; being |
| 1 | 攻撃者 | こうげきしゃ (攻撃者) : aggressor; assailant; invader |
| 1 | 共有 | きょうゆう (共有) : 1. joint ownership; co-ownership; sharing (e.g. a viewpoint) 2. sharing (files, devices on a network, posts on social media, etc.) |
| 1 | 識別子 | しきべつし (識別子) : identifier |
| 1 | 把握 | はあく (把握) : grasp; catch; understanding |
| 1 | 想定 | そうてい (想定) : hypothesis; supposition; assumption |
| 1 | 当該 | とうがい (当該) : appropriate (e.g. authorities); concerned; relevant; said; aforementioned; competent; applicable; respective |
| 1 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 1 | 他 | ほか (他) : 1. other (place, thing, person); the rest 2. outside; beyond |
| 1 | 閲覧 | えつらん (閲覧) : 1. inspection; reading; perusal 2. browsing (the web) |
| 1 | 改ざん | かいざん (改ざん) : alteration; falsification; faking |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 開発者 | かいはつしゃ (開発者) : developer |
| 1 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 1 | もと | もと (元) : 1. origin; source 2. base; basis; foundation; root |
| 1 | 最新版 | さいしんばん (最新版) : latest version; latest edition |
| 1 | 呼びかける | よびかける (呼びかける) : 1. to call out to; to hail; to address 2. to appeal |
| 1 | なお | なお (尚) : 1. still; yet 2. more; still more; greater; further |
| 1 | 修正 | しゅうせい (修正) : amendment; correction; revision; modification; alteration; retouching; update; fix |