PT-2024-29633 · Rakuten · Rakuten Ichiba App For Android+1
Shiga Takuma
·
Publicado
2024-08-28
·
Atualizado
2024-08-30
·
CVE-2024-41918
CVSS v3.1
6.1
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Aplicativo Rakuten Ichiba para Android, versões 12.4.0 e anteriores
Aplicativo Rakuten Ichiba para iOS, versões 11.7.0 e anteriores
Descrição
O problema diz respeito à autorização inadequada no manipulador do esquema de URL personalizado, permitindo que um site arbitrário seja exibido no WebView do produto por meio de Intent de outro aplicativo instalado no dispositivo do usuário. Isso pode resultar no redirecionamento do usuário para um site não autorizado, levando potencialmente a um ataque de phishing.
Recomendações
Para o aplicativo Rakuten Ichiba para Android versões 12.4.0 e anteriores, atualize para uma versão posterior à 12.4.0 para resolver o problema.
Para o aplicativo Rakuten Ichiba para iOS versões 11.7.0 e anteriores, atualize para uma versão posterior à 11.7.0 para resolver o problema.
Como solução alternativa temporária, considere restringir o uso de esquemas de URL personalizados no aplicativo para minimizar o risco de exploração.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rakuten Ichiba App For Android
Rakuten Ichiba App For Ios