JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は1月24日、「JVN#70818619: Android アプリ「メルカリ」におけるアクセス制限不備の脆弱性」において、リマサイト「メルカリ」のAndroidアプリに脆弱性が存在するとして、注意を喚起した。この脆弱性を悪用されると、メルカリのアプリを経由して任意のWebサイトにアクセスさせられる可能性がある。

  • JVN#70818619: Android アプリ「メルカリ」におけるアクセス制限不備の脆弱性

    JVN#70818619: Android アプリ「メルカリ」におけるアクセス制限不備の脆弱性

脆弱性に関する情報

修正された脆弱性は次のとおり。

  • CVE-2024-23388 - Androidアプリ「メルカリ」にはカスタムURLスキームを使用したリクエストを処理する機能が実装されているが、任意のアプリからのリクエストを処理してしまうアクセス制限不備の不具合が存在する

脆弱性に関する情報は次のページにまとまっている。

脆弱性の影響を受けるアプリ

セキュリティ脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。

  • Androidアプリ「メルカリ」バージョン5.78.0より前のバージョン

脆弱性が修正されたアプリのバージョン

脆弱性が修正されたアプリのバージョンは次のとおり。

  • Androidアプリ「メルカリ」バージョン5.78.0およびこれ以降のバージョン

この脆弱性を悪用された結果、フィッシング詐欺などの被害に遭う可能性が指摘されており注意が必要。JPCERT/CCは開発者の提供する情報にもとづいてアップデートを適用することを推奨している。