NVD Vulnerability Detail

CVE-2019-5954

Summary	JR East Japan train operation information push notification App for Android version 1.2.4 and earlier allows remote attackers to bypass access restriction to obtain or alter the user's registered information via unspecified vectors.
Publication Date	May 18, 2019, 1:29 a.m.
Registration Date	Jan. 26, 2021, 11:43 a.m.
Last Update	Nov. 21, 2024, 1:45 p.m.

CVSS3.0 : CRITICAL
スコア	9.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	高
完全性への影響(I)	高
可用性への影響(A)	なし

CVSS2.0 : MEDIUM
Score	6.4
Vector	AV:N/AC:L/Au:N/C:P/I:P/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:jreast:jr_east_japan::::::android::*			1.2.4

Related information, measures and tools

No	URL	タグ
1	http://jvn.jp/en/jp/JVN01119243/index.html	Third Party Advisory
2	http://jvn.jp/en/jp/JVN01119243/index.html	Third Party Advisory
3	https://www.jreast.co.jp/press/2018/20190310.pdf	Vendor Advisory
4	https://www.jreast.co.jp/press/2018/20190310.pdf	Vendor Advisory

Common Vulnerabilities List

JVN Vulnerability Information

Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性

Title	Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」が使用する API サーバにアクセス制限不備の脆弱性
Summary	東日本旅客鉄道株式会社が提供する Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」が使用する API サーバには、アクセス制限不備の脆弱性 (CWE-284) が存在します。なお、当該アプリは 2019年3月23日をもって、公開およびサービスを終了しています。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 東京都市大学通信工学会高橋朋也氏
Possible impacts	遠隔の第三者によって、ユーザの登録情報を取得されたり、改ざんされたりする可能性があります。
Solution	[Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」を使用しない] Android アプリ「JR東日本列車運行情報プッシュ通知アプリ」の開発およびサポートは終了しています。当該製品の使用を停止し、アンインストールしてください。開発者は、自身のホームページ、スマートフォンアプリ「JR東日本アプリ」、および LINE の「JR東日本 Chat Bot」の使用を推奨しています。
Publication Date	April 1, 2019, midnight
Registration Date	April 1, 2019, 2:04 p.m.
Last Update	April 1, 2019, 2:04 p.m.

Affected System

東日本旅客鉄道株式会社

JR東日本列車運行情報プッシュ通知アプリ Android アプリバージョン 1.2.4 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2019-5954	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5954
2	CVE-2019-5954	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-5954
National Vulnerability Database (NVD)
3	CVE-2019-5954	https://nvd.nist.gov/vuln/detail/CVE-2019-5954
4	CVE-2019-5954	https://nvd.nist.gov/vuln/detail/CVE-2019-5954

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html
2	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
東日本旅客鉄道株式会社
1	JR 東日本列車運行情報アプリのサービス終了について	https://www.jreast.co.jp/press/2018/20190310.pdf
2	JR 東日本列車運行情報アプリのサービス終了について	https://www.jreast.co.jp/press/2018/20190310.pdf

その他

No	Name	URL
JVN
1	JVN#01119243	https://jvn.jp/jp/JVN01119243/index.html
2	JVN#01119243	https://jvn.jp/jp/JVN01119243/index.html

Change Log

No	Changed Details	Date of change
2	[2019年09月27日] 参考情報：National Vulnerability Database (NVD) (CVE-2019-5954) を追加	Sept. 27, 2019, 9:34 a.m.
1	[2019年04月01日] 掲載	March 28, 2019, 12:13 p.m.
2	[2019年09月27日] 参考情報：National Vulnerability Database (NVD) (CVE-2019-5954) を追加	Sept. 27, 2019, 9:34 a.m.
1	[2019年04月01日] 掲載	March 28, 2019, 12:13 p.m.