株式会社GROWIからの情報

### 概要
- 弊社が提供している GROWI システムにおいて、脆弱性が存在することが判明しました。

### 該当製品の確認方法
影響を受ける製品は以下の通りです。
- 製品名称：GROWI
- 該当バージョン：v7.4.5 より前のバージョン

### 脆弱性の説明
- 「GROWI」の OpenAI スレッド・メッセージ API において、IDOR（安全でない直接オブジェクト参照）の脆弱性が存在します。
- 各 API エンドポイントでスレッドの所有者検証が行われておらず、認証済みユーザーが他ユーザーの AI アシスタントのスレッド・メッセージに対して不正な操作が可能です。

### 脆弱性の詳細情報
- CWE-862: Missing Authorization（権限チェックの欠如）
- CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L 基本値 8.3

### 脆弱性がもたらす脅威
ログイン可能なユーザーが共有 AI アシスタントの識別子を知っている場合、以下の操作が可能です。
- 他ユーザーのスレッド一覧の取得
- 他ユーザーのメッセージの閲覧
- 他ユーザーのスレッドへのメッセージ投稿
- 他ユーザーのメッセージの編集
- 他ユーザーのスレッドの削除

### 対策方法
- v7.4.6 以降のバージョンにアップデートしてください。

### アップデート版の入手場所
- [GitHub](https://github.com/weseek/growi)
- [Docker Hub](https://hub.docker.com/r/weseek/growi/)