|
[English]
|
JVNDB-2020-000043
|
Android アプリ「メルカリ」 (日本版) において Java オブジェクトの任意のメソッドが実行可能な脆弱性
|
|
株式会社メルカリが提供する Android アプリ「メルカリ」 (日本版) には、WebView クラスの addJavascriptInterface の制限不備に起因して任意の Java メソッドが実行される脆弱性 (CWE-749) が存在します。
この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
報告者: 株式会社アカツキ 小竹 泰一 氏
|
|
|
CVSS v3 による深刻度
基本値: 5.0 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃に必要な特権レベル: 不要
- 利用者の関与: 要
- 影響の想定範囲: 変更なし
- 機密性への影響(C): 低
- 完全性への影響(I): 低
- 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 5.1 (警告) [IPA値]
- 攻撃元区分: ネットワーク
- 攻撃条件の複雑さ: 高
- 攻撃前の認証要否: 不要
- 機密性への影響(C): 部分的
- 完全性への影響(I): 部分的
- 可用性への影響(A): 部分的
|
|
|
株式会社メルカリ
- メルカリ (日本版) Android アプリ バージョン 3.52.0 より前のバージョン
|
なお開発者によると、アプリ起動時の強制アップデートにより、現在これらのバージョンを使用することはできないとのことです。
|
|
中間者攻撃 (Man-In-The-Middle attack) が可能な遠隔の第三者によって、JavaScript コードの Java Reflection API を WebView 上で使用されることで、Java オブジェクトの任意のメソッドを実行される可能性があります。
|
|
[アップデートする]
本脆弱性は、開発者が提供する最新のバージョンにアプリをアップデートすることで修正されます。
なお開発者によると、本脆弱性の影響を受ける API level は現在採用されておらず、また過去に強制アップデートが実施されており、当該バージョンのアプリを使用することができないため、ユーザはアップデートのための自発的行動を取る必要はありません。
|
|
株式会社メルカリ
|
|
- その他(CWE-Other) [IPA評価]
|
|
- CVE-2020-5604
|
|
- JVN : JVN#93167107
- National Vulnerability Database (NVD) : CVE-2020-5604
|
|
|
