製品・ソフトウェアに関する情報
Vulnerability Search
Android アプリ「メルカリ(メルペイ)-フリマアプリ&スマホ決済」における Intent の取り扱い不備に関する脆弱性
Title Android アプリ「メルカリ(メルペイ)-フリマアプリ&スマホ決済」における Intent の取り扱い不備に関する脆弱性
Summary

株式会社メルカリが提供する Android アプリ「メルカリ(メルペイ)-フリマアプリ&スマホ決済」には、Intent の取り扱い不備に関する脆弱性 (CWE-939) が存在します。 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的に JVN での公表に至りました。 報告者: RyotaK 氏

Possible impacts 当該アプリを使用しているユーザが悪意のあるページにアクセスした場合、その悪意のあるページにより任意の Activity が起動可能です。その結果、メルカリアカウントのアクセストークンを窃取される可能性があります。
Solution

[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 なお開発者によると、すでに強制アップデートが実施されているため、ユーザはアップデートのための自発的行動を取る必要はないとのことです。
Publication Date Oct. 29, 2021, midnight
Registration Date Oct. 29, 2021, 12:11 p.m.
Last Update Oct. 29, 2021, 12:11 p.m.
CVSS3.0 : 重要
Score 7.4
Vector CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N
CVSS2.0 : 警告
Score 4.3
Vector AV:N/AC:M/Au:N/C:P/I:N/A:N
Affected System
株式会社メルカリ
メルカリ Android アプリ バージョン 4.49.1 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
No Changed Details Date of change
1 [2021年10月29日]
  掲載		 Oct. 28, 2021, 9:07 a.m.
NVD Vulnerability Information
CVE-2021-20835
Summary

Improper authorization in handler for custom URL scheme vulnerability in Android App 'Mercari (Merpay) - Marketplace and Mobile Payments App' (Japan version) versions prior to 4.49.1 allows a remote attacker to lead a user to access an arbitrary website and the website launches an arbitrary Activity of the app via the vulnerable App, which may result in Mercari account's access token being obtained.

Publication Date Nov. 25, 2021, 1:15 a.m.
Registration Date Nov. 25, 2021, 10 a.m.
Last Update Nov. 21, 2024, 2:47 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:mercari:mercari:*:*:*:*:*:android:*:* 4.49.1
Related information, measures and tools
Common Vulnerabilities List