弊社エンジニアによって報告された脆弱性が公開されました（JVN#54025691）

弊社の診断エンジニアによって報告された、スマートフォンアプリ「ぐるなび」におけるアクセス制限不備の脆弱性がJVNに公開されました。

概要

JVN#54025691
株式会社ぐるなびが提供するスマートフォンアプリ「ぐるなび」には、Custom URL Scheme を使用してリクエストされた URL にアクセスする機能が実装されています。この機能には、任意のアプリからリクエストを受け取りアクセスを実行してしまう、アクセス制限不備の脆弱性 (CWE-284) が存在します。

共通脆弱性識別子(CVE)

■CVE-2021-20693

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20693

報告者名

佐藤竜

詳細はこちら。
https://jvn.jp/jp/JVN54025691/index.html
https://jvndb.jvn.jp/ja/contents/2021/JVNDB-2021-000031.html
※外部サイトにリンクします。

SQAT^®Security Information TOPに戻る
TOP-更新情報に戻る

イベント情報

2025.4.16（水） 14:00～15:00
＜ウェブセミナー＞
知っておきたいIPA『情報セキュリティ
10大脅威 2025』～セキュリティ診断による
予防的コントロール～
IPA『情報セキュリティ10大脅威 2025』
（組織編）について知っておきたい基本情報を解説いたします。

詳細・お申し込みは こちら

2025.4.9（水） 13:00～14:00
＜ウェブセミナー＞
今さら聞けない！スマホアプリの
セキュリティあれこれ
スマホアプリのセキュリティについて、
どのようなリスクがあるのか？スマホアプリの脆弱性とは？実施による効果などについて解説します。

詳細・お申し込みは こちら

2025.4.2（水） 13:00～14:00
＜ウェブセミナー＞
今さら聞けない！PCI DSSで求められる脆弱性診断-いよいよ未来日付要件が有効に！
PCI DSSv4.0での脆弱性診断実施に
おけるポイントとは-
PCI DSSで求められる脆弱性診断・
ペネトレーションテストについて今さら
聞けない！？内容を徹底解説いたします。

詳細・お申し込みは こちら

2025.3.26（水） 13:00～14:00
＜ウェブセミナー＞
予防で差がつく！脆弱性診断の話
～脆弱性による脅威とその対策～
脆弱性対策として有効なもののひとつである「脆弱性診断」について取り上げ、なぜ必要なのか？どのようなことがわかるのか？
について解説いたします。

詳細・お申し込みは こちら

2025.3.19（水） 13:00～14:00
＜ウェブセミナー＞
ランサムウェア攻撃の脅威～感染リスクを
可視化する防御策の実践を紹介～
国内ランサムウェア攻撃事例を紹介
しながら、ランサムウェア攻撃の現状と、
企業が取るべき対策について解説します。

詳細・お申し込みは こちら