Plateforme
nodejs
Composant
@mobilenext/mobile-mcp
Corrigé dans
0.0.51
0.0.50
CVE-2026-35394 est une vulnérabilité dans @mobilenext/mobile-mcp qui permet l'exécution d'intent Android arbitraires en passant des URLs fournies par l'utilisateur directement au système d'intent Android sans validation. La version corrigée est 0.0.50.
La vulnérabilité CVE-2026-35394 dans mobile-mcp, plus précisément dans l'outil mobileopenurl, permet l'exécution d'intentions Android arbitraires. Cela est dû au fait que l'outil transmet directement les URL fournies par l'utilisateur au système d'intentions Android sans aucune validation de schéma. Un attaquant pourrait exploiter cela pour initier des actions indésirables sur l'appareil Android, telles que passer des appels téléphoniques, envoyer des SMS, accéder aux données du fournisseur de contenu ou même exécuter des codes USSD malveillants. La gravité de cette vulnérabilité est notée 8.3 sur l'échelle CVSS, ce qui indique un risque élevé.
Un attaquant pourrait exploiter cette vulnérabilité dans un environnement où il a le contrôle des URL fournies à l'outil mobileopenurl. Cela pourrait se produire dans un scénario de développement ou de test, ou même dans un environnement de production si l'outil est utilisé pour ouvrir des URL fournies par l'utilisateur. L'attaquant pourrait créer une URL malveillante avec un schéma tel que tel:, sms:, ou ussd: et tromper l'utilisateur pour qu'il clique dessus, ce qui entraînerait l'exécution de l'intention malveillante. L'absence de validation du schéma permet aux attaquants de contourner les protections de sécurité standard d'Android.
Organizations utilizing @mobilenext/mobile-mcp in their AI agent workflows or mobile application testing environments are at significant risk. Specifically, those relying on automated processes to handle URLs or those with legacy configurations that do not enforce strict URL validation are particularly vulnerable.
• nodejs: Inspect code for usage of adb shell am start -a android.intent.action.VIEW -d with user-supplied URLs without scheme validation.
grep -r 'adb shell am start -a android.intent.action.VIEW -d' . |
grep -i 'url'• generic web: Monitor access logs for requests containing suspicious URL schemes (tel:, sms:, mailto:, content://, market://).
grep -i 'tel:|sms:|mailto:|content:\/\/|market:\/\/' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à jour vers la version 0.0.50 de mobile-mcp. Cette version corrige le problème en validant le schéma de l'URL avant de la transmettre au système d'intentions Android. Il est fortement recommandé d'appliquer cette mise à jour dès que possible pour atténuer le risque d'exploitation. De plus, examinez tous les scripts ou processus qui utilisent mobileopenurl pour vous assurer que les URL proviennent de sources fiables et ne contiennent pas de schémas potentiellement dangereux. Surveiller les journaux système à la recherche d'activités suspectes liées à l'exécution d'intentions peut également aider à détecter et à répondre aux attaques potentielles.
Actualice a la versión 0.0.50 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para evitar la ejecución de intenciones Android arbitrarias.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une intention Android est un objet de message utilisé pour demander une action à un autre composant d'application. Elle est utilisée pour la communication entre différents composants au sein d'une application ou entre différentes applications.
Les codes USSD permettent aux attaquants d'interagir directement avec le réseau de l'opérateur mobile, ce qui peut leur permettre d'obtenir des informations sur l'utilisateur, de dévier des appels ou même d'effectuer des transactions frauduleuses.
Si vous suspectez d'être victime de cette vulnérabilité, mettez immédiatement à jour vers la version 0.0.50 de mobile-mcp. Vous devez également examiner les journaux système à la recherche d'activités suspectes et envisager de modifier les mots de passe de tout compte qui pourrait avoir été compromis.
Si vous ne pouvez pas mettre à jour immédiatement, évitez d'utiliser l'outil mobileopenurl avec des URL non fiables. Mettez en œuvre des contrôles d'entrée stricts pour valider les URL avant de les transmettre à l'outil.
KEV : non indique que cette vulnérabilité n'a pas été enregistrée dans la Knowledgebase of Exploitable Vulnerabilities (KEV).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.