概要
株式会社 GROWI が 提供 する GROWI に おいて、OpenAI スレッド・メッセージ API に 権限 チェック の 欠如(CWE-862)が 存在 します。この 脆弱性 に より、適切 な 権限 を 持た ない ユーザー が OpenAI 関連 の API エンドポイント に アクセス できる 可能性 が あります。
この 脆弱性 は GMO サイバーセキュリティ by イエラエ の 小田切 祥 氏 が 製品 開発者 に 直接 報告 し、調整 を 経て JVN で 公表 されました。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 8.3 (High) |
| CWE | CWE-862 (権限チェック欠如) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| GROWI | 株式会社GROWI | JVN情報を参照 |
修正 バージョン と 回避策
- 修正: 開発者 が 提供 する 最新 バージョン に アップデート して ください
- 参考: JVN の 脆弱性 対策 情報 を 確認 し、適切 な 対応 を 行って ください
関連リンク
データソース: JVN iPedia (IPA/JPCERT/CC), NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。