JVNDB-2019-000021 - JVN iPedia - 脆弱性対策情報データベース
Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性 東日本旅客鉄道株式会社が提供する Android アプリ「JR東日本 列車運行情報 プッシュ通知アプリ」が使用する API サーバには、アクセス制限不備の脆弱性 (CWE-284) が存在します。 なお、当該アプリは 2019年3月23日をもって、公開およびサービスを終了しています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 東京都市大学 通信工学会 高橋 朋也 氏
CWE-78
解説 解説要約 上位コンポーネントによる外部からの影響がある入力を使用したOS コマンドの全部、もしくは一部を構築するソフトウェアにおいて、意図する OS コマンドの改ざん可能な要素を適切に無効化せずに下位コンポーネントに送信する際に発生する脆弱性です。 詳細な解説 本脆弱性は、Web アプリケーションの様な、攻撃者がOSに直接アクセス権を持たない環境で発生し、攻撃者により直接OS に対して予期しない危険なコマンドを実行される可能性があります。本脆弱性が特権を持つプログラム上で発生した場合、攻撃者が通常はアクセスできないコマンドを指定する、または攻撃者が持たない権限を持つ別のコマンドを呼び出す可能性があります。このコマンドは、被害の深刻化を招くシステム特権で実行されるため、攻撃を受けたプロセスが最小特権の原則を遵守しない場合、本脆弱性は更に深刻なものとなります。 OS コマンドインジェクシ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVNDB-2022-003197 - JVN iPedia - 脆弱性対策情報データベース
