The Apache Software FoundationのAndroid版のApache Cordova File Transfer PluginにHTTP ヘッダインジェクションの脆弱性が確認された。影響を受けるのはCordova Android File Transfer Plugin 1.2.1とそれ以前で、ファイル名の処理の問題により、 HTTP ヘッダインジェクションの脆弱性が存在する。この脆弱性が悪用されると、アプリケーションの実装により異なりますが、ファイル名を含む HTTP ヘッダを追加している場合に、細工されたファイル名の処理により、ユーザのウェブブラウザ上で偽の情報表示、任意のスクリプト実行、Cookieに任意の値設定などの恐れがある。解決策として、cordova-plugin-file-transfer 1.3.0が公開されており、アップデート後にアプリケーションをリビルドすることでこの脆弱性は解消される。
