スマートフォンアプリ「@cosme化粧品・コスメランキング&お買物」にアクセス制限不備の脆弱性 | ScanNetSecurity
2026.05.12(火)

スマートフォンアプリ「@cosme化粧品・コスメランキング&お買物」にアクセス制限不備の脆弱性

独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月9日、スマートフォンアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。

脆弱性と脅威 セキュリティホール・脆弱性
251 views
facebookLINE

 独立行政法人情報処理推進機構(IPA)および一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)は9月9日、スマートフォンアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」におけるアクセス制限不備の脆弱性について「Japan Vulnerability Notes(JVN)」で発表した。株式会社ラックのPantuhong Sorasiri氏が報告を行っている。影響を受けるシステムは以下の通り。

Androidアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」5.69.0より前のバージョン
iOSアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」6.74.0より前のバージョン

 株式会社アイスタイルが提供するスマートフォンアプリ「@cosme(アットコスメ)化粧品・コスメランキング&お買物」には、Custom URL Schemeを使用してリクエストされたURLにアクセスする機能が実装されているが、同機能には任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性が存在する。

 想定される影響としては、遠隔の第三者によって当該製品を経由し任意のウェブサイトにアクセスさせられ、フィッシング等の被害にあう可能性がある。

 JVNでは、開発者が提供する情報をもとに最新版へアップデートするよう呼びかけている。

《ScanNetSecurity》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. ファイルが暗号化されておりランサムウェアである可能性が高い ~ オーミケンシへのサイバー攻撃によるシステム障害

    ファイルが暗号化されておりランサムウェアである可能性が高い ~ オーミケンシへのサイバー攻撃によるシステム障害

  2. 事態を重く受け止め「第65回 博多どんたく港まつり」への参加自粛 ~ 西日本シティ銀行

    事態を重く受け止め「第65回 博多どんたく港まつり」への参加自粛 ~ 西日本シティ銀行

  3. 2りんかんイエローハットに不正アクセス、「2りんかんアプリ」で個人情報漏えいの可能性

    2りんかんイエローハットに不正アクセス、「2りんかんアプリ」で個人情報漏えいの可能性

  4. CAMPFIRE への不正アクセス、225,846 件の個人情報が漏えいした可能性

    CAMPFIRE への不正アクセス、225,846 件の個人情報が漏えいした可能性

  5. イスラエルの水インフラを標的にした未完成のマルウェア ほか [Scan PREMIUM Monthly Executive Summary 2026年4月度]

    イスラエルの水インフラを標的にした未完成のマルウェア ほか [Scan PREMIUM Monthly Executive Summary 2026年4月度]

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP