Plattform
nodejs
Komponente
@mobilenext/mobile-mcp
Behoben in
0.0.51
0.0.50
CVE-2026-35394 is a high-severity vulnerability affecting the @mobilenext/mobile-mcp component. This flaw allows attackers to execute arbitrary Android intents, including USSD codes, phone calls, SMS messages, and content provider access, by exploiting a lack of URL scheme validation. The vulnerability impacts versions prior to 0.0.50 and can be mitigated by upgrading to version 0.0.50.
Die CVE-2026-35394-Schwachstelle in mobile-mcp, insbesondere im Tool mobileopenurl, ermöglicht die Ausführung beliebiger Android-Intents. Dies liegt daran, dass das Tool vom Benutzer bereitgestellte URLs direkt an das Android-Intent-System weiterleitet, ohne das Schema zu validieren. Ein Angreifer könnte dies ausnutzen, um unerwünschte Aktionen auf dem Android-Gerät zu initiieren, z. B. Telefongespräche zu tätigen, SMS-Nachrichten zu senden, auf Daten des Content-Providers zuzugreifen oder sogar bösartige USSD-Codes auszuführen. Die Schwere dieser Schwachstelle wird mit 8,3 auf der CVSS-Skala bewertet, was ein hohes Risiko anzeigt.
Ein Angreifer könnte diese Schwachstelle in einer Umgebung ausnutzen, in der er die Kontrolle über die an das Tool mobileopenurl bereitgestellten URLs hat. Dies könnte in einem Entwicklung- oder Testszenario oder sogar in einer Produktionsumgebung der Fall sein, wenn das Tool verwendet wird, um URLs zu öffnen, die vom Benutzer bereitgestellt werden. Der Angreifer könnte eine bösartige URL mit einem Schema wie tel:, sms: oder ussd: erstellen und den Benutzer dazu verleiten, darauf zu klicken, was zur Ausführung der bösartigen Intent führt. Das Fehlen der Schema-Validierung ermöglicht es Angreifern, die Standard-Sicherheitsvorkehrungen von Android zu umgehen.
Organizations utilizing @mobilenext/mobile-mcp in their AI agent workflows or mobile application testing environments are at significant risk. Specifically, those relying on automated processes to handle URLs or those with legacy configurations that do not enforce strict URL validation are particularly vulnerable.
• nodejs: Inspect code for usage of adb shell am start -a android.intent.action.VIEW -d with user-supplied URLs without scheme validation.
grep -r 'adb shell am start -a android.intent.action.VIEW -d' . |
grep -i 'url'• generic web: Monitor access logs for requests containing suspicious URL schemes (tel:, sms:, mailto:, content://, market://).
grep -i 'tel:|sms:|mailto:|content:\/\/|market:\/\/' /var/log/apache2/access.logdisclosure
Exploit-Status
EPSS
0.05% (16% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf Version 0.0.50 von mobile-mcp zu aktualisieren. Diese Version behebt das Problem, indem sie das URL-Schema validiert, bevor sie es an das Android-Intent-System weiterleitet. Es wird dringend empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko einer Ausnutzung zu mindern. Überprüfen Sie außerdem alle Skripte oder Prozesse, die mobileopenurl verwenden, um sicherzustellen, dass URLs aus vertrauenswürdigen Quellen stammen und keine potenziell gefährlichen Schemas enthalten. Die Überwachung der Systemprotokolle auf verdächtige Aktivitäten im Zusammenhang mit der Intent-Ausführung kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice a la versión 0.0.50 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para evitar la ejecución de intenciones Android arbitrarias.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Eine Android-Intent ist ein Nachrichtenobjekt, das verwendet wird, um eine Aktion von einer anderen App-Komponente anzufordern. Sie wird für die Kommunikation zwischen verschiedenen Komponenten innerhalb einer Anwendung oder zwischen verschiedenen Anwendungen verwendet.
USSD-Codes ermöglichen es Angreifern, direkt mit dem Mobilfunknetz des Betreibers zu interagieren, was es ihnen möglicherweise ermöglicht, Benutzerinformationen zu erhalten, Anrufe umzuleiten oder sogar betrügerische Gebühren zu erheben.
Wenn Sie vermuten, dass Sie Opfer dieser Schwachstelle geworden sind, aktualisieren Sie sofort auf Version 0.0.50 von mobile-mcp. Sie sollten außerdem die Systemprotokolle auf verdächtige Aktivitäten überprüfen und in Erwägung ziehen, die Passwörter aller Konten zu ändern, die möglicherweise kompromittiert wurden.
Wenn Sie nicht sofort aktualisieren können, vermeiden Sie die Verwendung des Tools mobileopenurl mit nicht vertrauenswürdigen URLs. Implementieren Sie strenge Eingabekontrollen, um URLs zu validieren, bevor Sie sie an das Tool weitergeben.
KEV: nein bedeutet, dass diese Schwachstelle nicht im Knowledgebase of Exploitable Vulnerabilities (KEV) registriert ist.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.