2026-03-16

• JVN#46373837 GROWIのOpenAIスレッド・メッセージ APIにおける権限チェック欠如の脆弱性 株式会社GROWIが提供するGROWIのOpenAIスレッド・メッセージ APIには、権限チェック欠如の脆弱性が存在します。
• - GROWI v7.4.5およびそれ以前のバージョン 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。
• - OpenAIスレッド・メッセージ APIにおける権限チェック欠如（CWE-862） - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N 基本値 8.7 - CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L 基本値 8.3 - CVE-2026-25083 - 攻撃者が共有AIアシスタントの識別子を把握している場合、本脆弱性の影響を受けます 当該製品にログインしたユーザが、他のユーザのAIアシスタントのスレッド・メッセージを閲覧したり、改ざんしたりする可能性があります。

重点テーマ AI と直接重なっています。 実装やプロダクト判断に跳ねる可能性があります。

影響範囲が広く、個別の話題として流さず全体像で押さえる価値があります。どの領域に波及するかを見極めるためにも、今の段階で追っておく意味があります。

• JVN#22152812 OpenLiteSpeedおよびLSWS EnterpriseにおけるOSコマンドインジェクションの脆弱性 LiteSpeed Technologiesが提供するOpenLiteSpeedおよびLSWS Enterpriseには、OSコマンドインジェクションの脆弱性が存在します。
• - OpenLiteSpeed すべてのバージョン - LSWS Enterprise すべてのバージョン LiteSpeed Technologiesが提供するOpenLiteSpeedおよびLSWS Enterpriseには次の脆弱性が存在します。
• - OSコマンドインジェクション（CWE-78） - CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 - CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 - CVE-2026-31386 管理権限を有するユーザーによって、任意のOSコマンドを実行される可能性があります。

Security-JP 領域の定点観測として押さえる価値があります。

影響範囲が広く、個別の話題として流さず全体像で押さえる価値があります。どの領域に波及するかを見極めるためにも、今の段階で追っておく意味があります。