CVE-2026-35394: Ejecución de Intents Android en mobile-mcp
Plataforma
nodejs
Componente
@mobilenext/mobile-mcp
Corregido en
0.0.50
CVE-2026-35394 es una vulnerabilidad en la herramienta `mobile_open_url` de @mobilenext/mobile-mcp que permite la ejecución de Intents Android arbitrarios. La herramienta pasa URLs proporcionadas por el usuario directamente al sistema de intents de Android sin validación, permitiendo la ejecución de códigos USSD, llamadas telefónicas, mensajes SMS y acceso a proveedores de contenido. La vulnerabilidad fue solucionada en la versión 0.0.50.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-35394?
Es una vulnerabilidad en @mobilenext/mobile-mcp que permite la ejecución de Intents Android arbitrarios sin validación de la URL.
¿Estoy afectado por CVE-2026-35394?
Si estás utilizando una versión de @mobilenext/mobile-mcp anterior a la 0.0.50, eres vulnerable.
¿Cómo puedo solucionar o mitigar CVE-2026-35394?
Actualiza @mobilenext/mobile-mcp a la versión 0.0.50 o superior para solucionar esta vulnerabilidad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis