公開日:2026/05/20 最終更新日:2026/05/20

JVNVU#93461473
Androidアプリ「パスワード管理 ロボフォーム」のintent処理における検証不備の脆弱性

概要

Siber Systems, Inc.が提供するAndroidアプリ「パスワード管理 ロボフォーム」は、intent経由で渡されたURLをオープンする際に十分な検証を行っていません。

影響を受けるシステム

  • Androidアプリ「パスワード管理 ロボフォーム」バージョン 9.8.6.3およびそれ以前
iOSアプリは本脆弱性の影響を受けません。

詳細情報

Siber Systems, Inc.が提供するAndroidアプリ「パスワード管理 ロボフォーム」には、他のアプリからintent経由でログインページなどのURLを受け取り内蔵ブラウザでオープンする機能がありますが、危険なURLかどうかの検証や当該URLからファイルをダウンロードする際のユーザへの確認といった機能が欠如しています。

  • 危険な動作に関するユーザインタフェースでの表示が不十分(CWE-357
    • CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 4.6
    • CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 3.3
    • CVE-2026-47782
    • 上記のCVSS評価では、被害者ユーザが悪意あるアプリをインストールするよう誘導され、そのアプリがRoboFormにintentを送って何らかのファイルをユーザに知らせずにダウンロードさせる状況を想定しています

想定される影響

細工されたページへのURLを指すintentを受けとると、RoboFormはユーザインタフェース上はなんの表示もせずに当該ページからファイルをダウンロードする可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、最新版へアップデートしてください。

ベンダ情報

ベンダ リンク
Siber Systems, Inc. パスワード管理 ロボフォーム
RoboForm for Android Version News

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:Johan Francsics 氏

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2026-47782
JVN iPedia