CVE-2017-3190
| Summary |
Flash Seats Mobile App for Android version 1.7.9 and earlier and for iOS version 1.9.51 and earlier fails to properly validate SSL certificates provided by HTTPS connections, which may enable an attacker to conduct man-in-the-middle (MITM) attacks.
|
| Publication Date |
Dec. 16, 2017, 11:29 a.m. |
| Registration Date |
Jan. 26, 2021, 1:23 p.m. |
| Last Update |
Nov. 21, 2024, 12:24 p.m. |
|
CVSS3.0 : HIGH
|
| スコア |
7.5
|
| Vector |
CVSS:3.0/AV:A/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 攻撃元区分(AV) |
隣接 |
| 攻撃条件の複雑さ(AC) |
高 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
高 |
| 完全性への影響(I) |
高 |
| 可用性への影響(A) |
高 |
|
CVSS2.0 : LOW
|
| Score |
2.9
|
| Vector |
AV:A/AC:M/Au:N/C:P/I:N/A:N |
| 攻撃元区分(AV) |
隣接 |
| 攻撃条件の複雑さ(AC) |
中 |
| 攻撃前の認証要否(Au) |
不要 |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
なし |
| 可用性への影響(A) |
なし |
| Get all privileges. |
いいえ
|
| Get user privileges |
いいえ
|
| Get other privileges |
いいえ
|
| User operation required |
いいえ
|
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:axs:flash_seats:*:*:*:*:*:iphone_os:*:* |
|
1.9.51 |
|
|
| Configuration2 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:axs:flash_seats:*:*:*:*:*:android:*:* |
|
1.7.9 |
|
|
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
iOS アプリ「Flash Seats Mobile App」にSSL サーバ証明書の検証不備の脆弱性
| Title |
iOS アプリ「Flash Seats Mobile App」にSSL サーバ証明書の検証不備の脆弱性
|
| Summary |
iOS アプリ「Flash Seats Mobile App」は、HTTPS 通信で使用される SSL サーバ証明書を検証しないため、中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。 証明書の検証不備 (CWE-295) - CVE-2017-3190 iOS アプリ「Flash Seats Mobile App」は、スポーツやエンターテインメント等のチケットマネジメント用のアプリケーションです。 iOS アプリ「Flash Seats Mobile App」は HTTPS 接続において SSL サーバ証明書を正しく検証しないため、中間者攻撃 (man-in-the-middle attack) が行われる可能性があります。
|
| Possible impacts |
中間者攻撃 (man-in-the-middle attack) により、HTTPS で保護されるべき通信内容を取得されたり改ざんされたりする可能性があります。結果として、ログインのための認証情報など機微な情報が漏えいする可能性があります。 |
| Solution |
2017年3月9日現在、対策方法は不明です。 [ワークアラウンドを実施する] 次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。 * 影響を受ける「Flash Seats Mobile App」を使用しない * 信頼できないネットワークを使用しない |
| Publication Date |
March 8, 2017, midnight |
| Registration Date |
March 13, 2017, 2:08 p.m. |
| Last Update |
March 14, 2018, 12:29 p.m. |
Affected System
| Flash Seats, LLC. |
|
Flash Seats Mobile App (iOS 版) version 1.9.51 およびそれ以前
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 0 |
[2017年03月13日]
掲載 |
Feb. 17, 2018, 10:37 a.m. |
| 1 |
[2018年03月14日]
参考情報:National Vulnerability Database (NVD) (CVE-2017-3190) を追加 |
March 14, 2018, 11:35 a.m. |