カテゴリー: CVE

LINEヤフー株式会社が提供するスマートフォンアプリ「Yahoo! JAPAN」には、クロスサイトスクリプティング (CWE-79) の脆弱性が存在します。
詳細:https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000036.html

株式会社AbemaTV が提供する Android アプリ「ABEMA（アベマ）」には、ユーザの端末にインストールされた他のアプリから Intent を介して当該アプリ上で任意のURLへのアクセスが発生する、アクセス制限不備の脆弱性 (CWE-926) が存在します。
詳細:https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000031.html

株式会社東横インIT集客ソリューションが提供するスマートフォンアプリ「東横INN公式アプリ」には、サーバ証明書の検証不備の脆弱性 (CWE-295) が存在します。
詳細：https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000029.html

株式会社メルカリが提供する Android アプリ「メルカリ」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性が存在します。
詳細：https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000005.html

株式会社Spoon Radio Japan が提供する Android アプリ「Spoon (スプーン)」には、外部サービスの API キーがハードコードされています。
詳細：https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000013.html

Drupal.org が提供する Drupal には、特定の構造を持つ入力に対する不適切な取り扱いの脆弱性が存在します。
詳細：https://jvndb.jvn.jp/ja/contents/2024/JVNDB-2024-000004.html

株式会社WESEEKが提供する GROWI には、次に挙げる複数の脆弱性が存在します。
・プレゼンテーション機能における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-42436
・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown) における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-45737
・プロフィール画像の処理における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-45740
・ユーザー設定画面 (/me) におけるクロスサイトリクエストフォージェリ (CWE-352) – CVE-2023-46699
・XSS Filter の挙動を悪用した格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-47215
・img タグによる格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-49119
・イベントハンドラにおける格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-49598
・コメント機能における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-49779
・MathJax の処理に起因した格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-49807
・アプリ設定 (/admin/app)、マークダウン設定 (/admin/markdown)、カスタマイズ (/admin/customize) における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-50175
・アプリ設定 (/admin/app) における Secret access key の平文表示 (CWE-312) – CVE-2023-50294
・ユーザー管理 (/admin/users) における不適切な認可 (CWE-285) – CVE-2023-50332
・セキュリティ設定 (/admin/security) における格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-50339

詳細：https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-000123.html

Redmine には、文字列の処理不備に起因するクロスサイトスクリプティングの脆弱性が存在します。
詳細：https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-000116.html

baserCMSユーザー会が提供する baserCMS には、次に挙げる複数の脆弱性が存在します。
・格納型クロスサイトスクリプティング (CWE-79) – CVE-2023-29009
・反射型クロスサイトスクリプティング (CWE-79) – CVE-2023-43647
・ディレクトリトラバーサル (CWE-22) – CVE-2023-43648
・クロスサイトリクエストフォージェリ (CWE-352) – CVE-2023-43649
・任意のファイルアップロード (CWE-434) – CVE-2023-43792
詳細：https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-000106.html

株式会社ニューズピックスが提供する Android アプリ「NewsPicks（ニューズピックス）/経済ニュースアプリ」および iOS アプリ「ニューズピックス -ビジネスに役立つ経済ニュースアプリ」には、外部サービスの API キーがハードコードされている問題が存在します。

詳細:https://jvndb.jvn.jp/ja/contents/2023/JVNDB-2023-000068.html