TechNews
Observatory
Article

JVN#46373837: GROWIのOpenAIスレッド・メッセージ APIにおける権限チェック欠如の脆弱性株式会社GROWIのOpenAIスレッド・メッセージ APIに権限チェック欠如(CWE-862)の脆弱性が確認されました。

unpinnedSecurity-JP
https://jvn.jp/jp/JVN46373837
Summary
analysis llm/ollama(qwen3.5:4B)
published 2026-03-16 14:00 JST
Sources
JVN RSS
Analysis Tags
auth-bypassgrowing-apiopenai-integration
Manual Tags
none
Reading

Article Notes

要点
  • 株式会社GROWIのOpenAIスレッド・メッセージ APIに権限チェック欠如(CWE-862)の脆弱性が確認されました。
  • ログインユーザー以外が他のユーザーのAIアシスタントメッセージを閲覧・改ざんできる高リスク問題です。
  • 最新版v7.4.6への更新が推奨され、GMOサイバーセキュリティby イエラエ株式会社によって報告されました。
重要性

共有AIアシスタントデータへの不正アクセスと改ざんが可能であり、ユーザー間での情報漏洩リスクが高いため、セキュリティ対策の即時対応が必要です。

Signals

Why It Was Selected

Buzz

今回の収集範囲では、コミュニティで強い話題信号は確認できませんでした。

Global

影響範囲が広く、個別の話題として流さず全体像で押さえる価値があります。どの領域に波及するかを見極めるためにも、今の段階で追っておく意味があります。

Context

背景理解や運用の前提を揃えるために見ておきたい話題です。判断材料を雑にしないための補助線として有効です。