प्लेटफ़ॉर्म
nodejs
घटक
@mobilenext/mobile-mcp
में ठीक किया गया
0.0.51
0.0.50
CVE-2026-35394 @mobilenext/mobile-mcp टूल में एक गंभीर भेद्यता है, विशेष रूप से mobileopenurl फ़ंक्शन में। यह असुरक्षा उपयोगकर्ता द्वारा प्रदान किए गए URL को Android के intent सिस्टम को बिना किसी योजना सत्यापन के भेजती है, जिससे दुर्भावनापूर्ण intents, जैसे USSD कोड, फ़ोन कॉल और SMS संदेशों को निष्पादित किया जा सकता है। यह भेद्यता @mobilenext/mobile-mcp के संस्करणों को प्रभावित करती है 0.0.50 से पहले, लेकिन संस्करण 0.0.50 में एक पैच उपलब्ध है।
मोबाइल-एमसीपी में CVE-2026-35394, विशेष रूप से मोबाइलओपनयूआरएल टूल में, मनमाने Android इंटेंट के निष्पादन की अनुमति देता है। ऐसा इसलिए है क्योंकि टूल उपयोगकर्ता द्वारा प्रदान किए गए URL को Android इंटेंट सिस्टम को सीधे पास करता है, बिना किसी स्कीमा सत्यापन के। एक हमलावर इसका उपयोग Android डिवाइस पर अवांछित क्रियाएं शुरू करने के लिए कर सकता है, जैसे कि फोन कॉल करना, एसएमएस संदेश भेजना, सामग्री प्रदाता डेटा तक पहुंचना, या यहां तक कि दुर्भावनापूर्ण USSD कोड निष्पादित करना। इस भेद्यता की गंभीरता को CVSS पैमाने पर 8.3 के रूप में रेट किया गया है, जो उच्च जोखिम का संकेत देता है।
एक हमलावर इस भेद्यता का फायदा उस वातावरण में उठा सकता है जहां उसके पास मोबाइलओपनयूआरएल टूल को प्रदान किए गए URL पर नियंत्रण होता है। यह एक विकास या परीक्षण परिदृश्य में, या उत्पादन वातावरण में हो सकता है यदि टूल का उपयोग उपयोगकर्ता द्वारा प्रदान किए गए URL को खोलने के लिए किया जाता है। हमलावर tel:, sms:, या ussd: जैसे स्कीमा के साथ एक दुर्भावनापूर्ण URL बना सकता है और उपयोगकर्ता को उस पर क्लिक करने के लिए बरगला सकता है, जिसके परिणामस्वरूप दुर्भावनापूर्ण इंटेंट निष्पादित होता है। स्कीमा सत्यापन की कमी हमलावरों को मानक Android सुरक्षा सुरक्षा को बायपास करने की अनुमति देती है।
Organizations utilizing @mobilenext/mobile-mcp in their AI agent workflows or mobile application testing environments are at significant risk. Specifically, those relying on automated processes to handle URLs or those with legacy configurations that do not enforce strict URL validation are particularly vulnerable.
• nodejs: Inspect code for usage of adb shell am start -a android.intent.action.VIEW -d with user-supplied URLs without scheme validation.
grep -r 'adb shell am start -a android.intent.action.VIEW -d' . |
grep -i 'url'• generic web: Monitor access logs for requests containing suspicious URL schemes (tel:, sms:, mailto:, content://, market://).
grep -i 'tel:|sms:|mailto:|content:\/\/|market:\/\/' /var/log/apache2/access.logdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (16% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान मोबाइल-एमसीपी को संस्करण 0.0.50 में अपडेट करना है। यह संस्करण Android इंटेंट सिस्टम को URL पास करने से पहले URL स्कीमा को मान्य करके इस मुद्दे को ठीक करता है। शोषण के जोखिम को कम करने के लिए इस अपडेट को जल्द से जल्द लागू करने की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, मोबाइलओपनयूआरएल का उपयोग करने वाले सभी स्क्रिप्ट या प्रक्रियाओं की समीक्षा करें ताकि यह सुनिश्चित हो सके कि URL विश्वसनीय स्रोतों से हैं और उनमें संभावित रूप से खतरनाक स्कीमा शामिल नहीं हैं। इंटेंट निष्पादन से संबंधित सिस्टम लॉग में संदिग्ध गतिविधि की निगरानी भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकती है।
Actualice a la versión 0.0.50 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para evitar la ejecución de intenciones Android arbitrarias.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Android इंटेंट एक संदेश ऑब्जेक्ट है जिसका उपयोग किसी अन्य ऐप घटक से कार्रवाई का अनुरोध करने के लिए किया जाता है। इसका उपयोग एप्लिकेशन के भीतर विभिन्न घटकों के बीच या विभिन्न एप्लिकेशन के बीच संचार के लिए किया जाता है।
USSD कोड हमलावरों को मोबाइल ऑपरेटर के नेटवर्क के साथ सीधे बातचीत करने की अनुमति देते हैं, जिससे वे उपयोगकर्ता जानकारी प्राप्त कर सकते हैं, कॉल को रीडायरेक्ट कर सकते हैं या धोखाधड़ी शुल्क ले सकते हैं।
यदि आपको संदेह है कि आप इस भेद्यता का शिकार हुए हैं, तो तुरंत मोबाइल-एमसीपी को संस्करण 0.0.50 में अपडेट करें। आपको सिस्टम लॉग में संदिग्ध गतिविधि की भी जांच करनी चाहिए और किसी भी खाते के पासवर्ड बदलने पर विचार करना चाहिए जो समझौता किया गया हो सकता है।
यदि आप तुरंत अपडेट नहीं कर सकते हैं, तो अविश्वसनीय URL के साथ मोबाइलओपनयूआरएल टूल का उपयोग करने से बचें। टूल को URL पास करने से पहले URL को मान्य करने के लिए सख्त इनपुट नियंत्रण लागू करें।
KEV: नहीं का मतलब है कि यह भेद्यता शोषण योग्य भेद्यता ज्ञानकोश (KEV) में पंजीकृत नहीं है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।