प्लेटफ़ॉर्म
python
घटक
mobsf
में ठीक किया गया
4.3.1
4.3.1
CVE-2025-24805 MobSF में एक विशेषाधिकार वृद्धि भेद्यता है, जहाँ कोई भी पंजीकृत उपयोगकर्ता API टोकन प्राप्त कर सकता है जिसमें सभी विशेषाधिकार होते हैं। यह भेद्यता MobSF के संस्करण 4.3.0 और उससे पहले के संस्करणों को प्रभावित करती है। इस भेद्यता का शोषण करने से जानकारी का खुलासा हो सकता है। संस्करण 4.3.1 में इस समस्या का समाधान किया गया है।
इस भेद्यता का शोषण करने पर, एक हमलावर अनधिकृत रूप से API टोकन प्राप्त कर सकता है, जो उसे MobSF के भीतर सभी विशेषाधिकार प्रदान करता है। इसका उपयोग संवेदनशील जानकारी तक पहुंचने, कॉन्फ़िगरेशन बदलने या अन्य दुर्भावनापूर्ण कार्य करने के लिए किया जा सकता है। चूंकि MobSF का उपयोग मोबाइल एप्लिकेशन सुरक्षा परीक्षण के लिए किया जाता है, इसलिए इस भेद्यता का शोषण करने से एप्लिकेशन के स्रोत कोड और अन्य गोपनीय डेटा का खुलासा हो सकता है। यह भेद्यता विशेष रूप से उन संगठनों के लिए जोखिम पैदा करती है जो MobSF का उपयोग अपने मोबाइल एप्लिकेशन की सुरक्षा का आकलन करने के लिए करते हैं, क्योंकि यह हमलावरों को उनके एप्लिकेशन की सुरक्षा में सेंध लगाने की अनुमति दे सकती है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और MobSF के संस्करण 4.3.0 से पहले के संस्करणों को प्रभावित करती है। इस भेद्यता का शोषण करने के लिए सार्वजनिक रूप से कोई प्रमाण-अवधारणा (Proof-of-Concept) उपलब्ध नहीं है, लेकिन भेद्यता की गंभीरता और संभावित प्रभाव को देखते हुए, इसका सक्रिय रूप से शोषण किए जाने की संभावना है। CISA ने अभी तक इस CVE को KEV में शामिल नहीं किया है।
Organizations using MobSF to analyze mobile applications, particularly those handling sensitive data, are at risk. Teams relying on MobSF for automated security assessments and continuous integration/continuous delivery (CI/CD) pipelines are especially vulnerable, as a compromised MobSF instance could introduce vulnerabilities into the build process.
• python / server:
grep -r 'API_TOKEN_GENERATION_ENABLED' /opt/mobsf/config.py• python / server:
journalctl -u mobsf | grep -i "API token generated"• generic web:
curl -I http://<mobsf_server>/api/v1/users/me/token
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.21% (43% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-24805 को कम करने के लिए, MobSF को संस्करण 4.3.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड संभव नहीं है, तो API टोकन प्रबंधन को मजबूत करने के लिए अस्थायी समाधान लागू करें। उदाहरण के लिए, सभी उपयोगकर्ताओं के लिए API टोकन की पीढ़ी को अक्षम करें या टोकन के जीवनकाल को सीमित करें। इसके अतिरिक्त, नियमित रूप से MobSF के लॉग की निगरानी करें ताकि अनधिकृत API टोकन उपयोग के किसी भी संकेत का पता लगाया जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए MobSF की जांच करें कि विशेषाधिकार प्रबंधन ठीक से काम कर रहा है और अनधिकृत पहुंच को रोका जा रहा है।
Actualice MobSF a la versión 4.3.1 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios local. No existen soluciones alternativas conocidas, por lo que la actualización es la única forma de mitigar el riesgo.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-24805 MobSF में एक विशेषाधिकार वृद्धि भेद्यता है जहाँ पंजीकृत उपयोगकर्ता सभी विशेषाधिकारों वाले API टोकन प्राप्त कर सकते हैं, जिससे जानकारी का खुलासा हो सकता है।
यदि आप MobSF के संस्करण 4.3.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-24805 को ठीक करने के लिए, MobSF को संस्करण 4.3.1 या बाद के संस्करण में अपडेट करें।
हालांकि सार्वजनिक रूप से कोई PoC उपलब्ध नहीं है, भेद्यता की गंभीरता को देखते हुए, सक्रिय शोषण की संभावना है।
कृपया MobSF के आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी requirements.txt फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।