Yappli (ヤプリ) は、株式会社ヤプリが提供するスマートフォン用アプリケーション開発運用プラットフォームです。 Yappli で作成された Android アプリケーションには、Custom URL Scheme を使用して指定された URL を処理する機能が実装されています。 この機能には、細工された URL を処理することでアプリケーションの接続先が書き換えられてしまうアクセス制限不備 (CWE-939) の脆弱性が存在します。 本脆弱性の影響を受けるアプリケーションをインストールした状態のデバイスで、細工された URL を含むウェブページにアクセスするなどにより、当該アプリケーションの接続先を書き換えられ、意図しないサイトと通信させられる可能性があります。 アクセス先が悪意のあるサイトの場合、当該アプリケーション内で使用する情報を窃取されたり、改ざんされたりする可能性があります