0001田杉山脈 ★
2020/08/26(水) 20:08:09.89ID:CAP_USER同アプリは、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能を実装しているが、同機能には任意のアプリからリクエストを受け取りアクセスを実行してしまうアクセス制限不備の脆弱性がある。共通脆弱性評価システムCVSS v3のスコアは4.3。
脆弱性を悪用されると、遠隔の第三者によって同アプリを経由してフィッシングサイトなど任意のウェブサイトにアクセスさせられる恐れがる。
影響を受けるアプリのバージョンはAndroid版が6.0.4以前、iOS版が6.0.2以前。バージョン6.1.0以降では脆弱性が修正されているため、最新版の適用が推奨される。
なお、ニトリホールディングスによると、8月21日時点で同脆弱性による被害報告はないという。
https://internet.watch.impress.co.jp/docs/news/1273094.html