ニュース
「ぐるなび」アプリにアクセス制限不備の脆弱性、フィッシングサイトなどへ誘導される恐れ
最新バージョンの適用を呼び掛け
2021年4月16日 19:34
株式会社ぐるなびが提供するスマートフォンアプリ「ぐるなび」に脆弱性が存在するとして、独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)の運営する「Japan Vulnerability Notes(JVN)」が情報を公開した。
Custom URL Schemeを使用してリクエストされたURLにアクセスする機能において、任意のアプリからリクエストを受け取り、アクセスを実行してしまうアクセス制限不備の脆弱性(CVE-2021-20693)が存在する。共通脆弱性評価システムCVSS v3のスコアは3.3。
脆弱性を悪用されると、遠隔の第三者によって同アプリを経由してフィッシングサイトなど任意のウェブサイトにアクセスさせられる恐れがある。
影響を受けるアプリのバージョンは、Android版が「10.0.10」以前、iOS版が「11.1.2」。ぐるなびでは既に脆弱性の修正に対応しており、同アプリの最新バージョンへのアップデートを呼び掛けている。