CVE-2026-35394: @mobilenext/mobile-mcp Intent Injection (HIGH)
Plattform
nodejs
Komponente
@mobilenext/mobile-mcp
Behoben in
0.0.50
CVE-2026-35394 is an Intent Injection vulnerability in the `@mobilenext/mobile-mcp` package. The `mobile_open_url` tool passes user-supplied URLs directly to Android's intent system without any scheme validation, allowing execution of arbitrary Android intents. This issue is fixed in version 0.0.50.
So beheben
Kein offizieller Patch verfügbar. Prüfe auf Workarounds oder überwache auf Updates.
Häufig gestellte Fragen
What is CVE-2026-35394?
CVE-2026-35394 is an Intent Injection vulnerability in @mobilenext/mobile-mcp that allows execution of arbitrary Android intents.
Am I affected by CVE-2026-35394?
You are affected if you are using a version of @mobilenext/mobile-mcp prior to 0.0.50.
How can I fix CVE-2026-35394?
Upgrade your @mobilenext/mobile-mcp package to version 0.0.50 or later to resolve this vulnerability.
Abhängigkeiten automatisch überwachen
Werde benachrichtigt, wenn neue Schwachstellen deine Projekte betreffen. Für immer kostenlos.
Kostenlos starten