| Summary | The Android Apps Money Forward (prior to v7.18.0), Money Forward for The Gunma Bank (prior to v1.2.0), Money Forward for SHIGA BANK (prior to v1.2.0), Money Forward for SHIZUOKA BANK (prior to v1.4.0), Money Forward for SBI Sumishin Net Bank (prior to v1.6.0), Money Forward for Tokai Tokyo Securities (prior to v1.4.0), Money Forward for THE TOHO BANK (prior to v1.3.0), Money Forward for YMFG (prior to v1.5.0) provided by Money Forward, Inc. and Money Forward for AppPass (prior to v7.18.3), Money Forward for au SMARTPASS (prior to v7.18.0), Money Forward for Chou Houdai (prior to v7.18.3) provided by SOURCENEXT CORPORATION do not properly implement the WebView class, which allows an attacker to disclose information stored on the device via a specially crafted application. |
|---|---|
| Publication Date | May 13, 2017, 3:29 a.m. |
| Registration Date | Jan. 26, 2021, 2:12 p.m. |
| Last Update | Nov. 21, 2024, 11:53 a.m. |
| CVSS3.1 : MEDIUM | |
| スコア | 5.5 |
|---|---|
| Vector | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
| 攻撃元区分(AV) | ローカル |
| 攻撃条件の複雑さ(AC) | 低 |
| 攻撃に必要な特権レベル(PR) | 不要 |
| 利用者の関与(UI) | 要 |
| 影響の想定範囲(S) | 変更なし |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| CVSS2.0 : MEDIUM | |
| Score | 4.3 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 中 |
| 攻撃前の認証要否(Au) | 不要 |
| 機密性への影響(C) | 低 |
| 完全性への影響(I) | なし |
| 可用性への影響(A) | なし |
| Get all privileges. | いいえ |
| Get user privileges | いいえ |
| Get other privileges | いいえ |
| User operation required | はい |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:moneyforward:money_forward_for_apppass:*:*:*:*:*:android:*:* | 7.18.3 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_au_smartpass:*:*:*:*:*:android:*:* | 7.18.0 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_chou_houdai:*:*:*:*:*:android:*:* | 7.18.3 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_sbi_sumishin_net_bank:*:*:*:*:*:android:*:* | 1.6.0 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_shiga_bank:*:*:*:*:*:android:*:* | 1.2.0 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_shizuoka_bank:*:*:*:*:*:android:*:* | 1.4.0 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_the_gunma_bank:*:*:*:*:*:android:*:* | 1.2.0 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_the_toho_bank:*:*:*:*:*:android:*:* | 1.3.0 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_tokai_tokyo_securities:*:*:*:*:*:android:*:* | 1.4.0 | ||||
| cpe:2.3:a:moneyforward:money_forward_for_ymfg:*:*:*:*:*:android:*:* | 1.5.0 | ||||
| Title | Android アプリ「マネーフォワード」における WebView クラスに関する脆弱性 |
|---|---|
| Summary | Android アプリ「マネーフォワード」には、WebView クラスに関する脆弱性が存在します。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者: 株式会社スプラウト 末房建太 氏、小西明紀 氏、塩見友規 氏 |
| Possible impacts | ユーザが、他の不正なアプリケーションを使用した場合、当該製品のデータ領域にある情報が漏えいする可能性があります。 |
| Solution | [アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 |
| Publication Date | Sept. 20, 2016, midnight |
| Registration Date | Sept. 20, 2016, 12:01 p.m. |
| Last Update | Nov. 27, 2017, 5:57 p.m. |
| ソースネクスト |
| マネーフォワード for AppPass 7.18.3 より前のバージョン |
| マネーフォワード for auスマートパス 7.18.0 より前のバージョン |
| マネーフォワード for 超ホーダイ 7.18.3 より前のバージョン |
| 株式会社マネーフォワード |
| マネーフォワード Android 版 7.18.0 より前のバージョン |
| マネーフォワード for YMFG Android 版 1.5.0 より前のバージョン |
| マネーフォワード for 住信SBIネット銀行 Android 版 1.6.0 より前のバージョン |
| マネーフォワード for 東海東京証券 Android 版 1.4.0 より前のバージョン |
| マネーフォワード for 東邦銀行 Android 版 1.3.0 より前のバージョン |
| マネーフォワード for 滋賀銀行 Android 版 1.2.0 より前のバージョン |
| マネーフォワード for 群馬銀行 Android 版 1.2.0 より前のバージョン |
| マネーフォワード for 静岡銀行 Android 版 1.4.0 より前のバージョン |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2016年09月20日] 掲載 [2017年11月27日] 参考情報:National Vulnerability Database (NVD) (CVE-2016-4839) を追加 |
Feb. 17, 2018, 10:37 a.m. |