Android アプリ「メルカリ」 (日本版) において Java オブジェクトの任意のメソッドが実行可能な脆弱性
ニュース
【概要】 | |
株式会社メルカリが提供する Android アプリ「メルカリ」 (日本版) には、WebView クラスの addJavascriptInterface の制限不備に起因して任意の Java メソッドが実行される脆弱性 (CWE-749) が存在します。 |
|
【CVSS による深刻度】 (CVSS とは?) |
|
【影響を受けるシステム】 |
|
|
|
なお開発者によると、アプリ起動時の強制アップデートにより、現在これらのバージョンを使用することはできないとのことです。 |
|
【想定される影響】 |
|
中間者攻撃 (Man-In-The-Middle attack) が可能な遠隔の第三者によって、JavaScript コードの Java Reflection API を WebView 上で使用されることで、Java オブジェクトの任意のメソッドを実行される可能性があります。 |
|
【対策】 |
|
[アップデートする] |
|
【ベンダ情報】 |
|
株式会社メルカリ |
|
【CWEによる脆弱性タイプ一覧】 CWEとは? |
|
|
|
【共通脆弱性識別子(CVE)】 CVEとは? |
|
【参考情報】 |
|
|