Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

学生の就活支援アプリ「OfferBox」に一時脆弱性 - すでに解消済み

i-plugが提供する学生向けの就職活動支援スマートフォンアプリ「OfferBox」に脆弱性が明らかとなった。すでに対策が講じられており、影響は緩和されている。

「JWT(JSON Web Token)」の秘密鍵がハードコードされている脆弱性「CVE-2024-32988」が判明したもの。

楽天グループの山手雄太氏が情報処理推進機構(IPA)へ報告。JPCERTコーディネーションセンターが調整を実施した。

Androidアプリ、iOSアプリのいずれも秘密鍵が含まれていたが、2024年5月8日に秘密鍵が無効化された。同脆弱性の悪用による被害なども確認されていないという。

対策が講じられたことで旧バージョンも含め、同脆弱性への対応は不要となったが、同社では秘密鍵を削除した「OfferBox 3.0.0」をリリースしている。

(Security NEXT - 2024/05/10 ) このエントリーをはてなブックマークに追加

PR

関連記事

エンプラサーバなどに採用されるAMI製「BMC」にRCE脆弱性
フィッシングURLが約48%減 - 約1年ぶりの2万件台
「PHP」に複数脆弱性 - セキュリティアップデートがリリース
「北海道じゃらん」に攻撃、個人情報流出か - フィッシング攻撃も
米政府、バックアップソフトやIPカメラの脆弱性悪用に注意喚起
Veeam製バックアップソフトに深刻なRCE脆弱性が判明
「Chrome」に「クリティカル」脆弱性 - アップデートで修正
持ち出し緊急連絡表をメモ利用、保育士を懲戒処分 - 二宮町
勤務時間に60時間以上に私的ネット閲覧、副校長処分 - 横浜市
KDDIのホームゲートウェイ「HGW-BL1500HM」に複数脆弱性