概要
モバイルアプリ OTA(Over-the-Air)更新プラットフォーム Cap-go のバージョン 12.128.2 未満において、認証ロジックの不備による脆弱性が確認されました。
攻撃者は被害者のメールアドレスが検証される前に、そのメールアドレスを使ってアカウントを登録・制御できます。さらに、この事前登録済みアカウントに 2FA を有効化することで、被害者が後から同じメールアドレスで登録しようとした際にアクセスできない状態を作り出せます。
これにより攻撃者は:
- 被害者の組織レベルポリシーを読み取り・変更できる
- 被害者のアカウントのSSO(シングルサインオン)認証時に攻撃者アカウントへのマージを誘発できる
- 正規ユーザーのアクセスを妨害できる
CVSSベクトル
| 指標 | 値 |
|---|---|
| 攻撃ベクトル(AV) | ネットワーク (N) |
| 攻撃複雑度(AC) | 低 (L) |
| 必要権限(PR) | 不要 (N) |
| ユーザー操作(UI) | 不要 (N) |
| スコープ(S) | 変更なし (U) |
| 機密性(C) | 高 (H) |
| 完全性(I) | 高 (H) |
| 可用性(A) | 低 (L) |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Cap-go (capgo) | Cap-go | 12.128.2 未満 |
修正バージョンと回避策
修正バージョン: Cap-go 12.128.2
推奨対応:
- Cap-go 12.128.2 以降へアップデートする
関連リンク
データソース: NVD (NIST), GitHub Advisory Database
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。