UNKNOWNCVE-2026-35394
CVE-2026-35394: @mobilenext/mobile-mcp Android Intent実行脆弱性
プラットフォーム
nodejs
コンポーネント
@mobilenext/mobile-mcp
修正バージョン
0.0.50
@mobilenext/mobile-mcpの`mobile_open_url`ツールは、Androidのintentシステムにユーザーが提供したURLを直接渡します。URLスキームの検証がないため、`tel:`、`sms:`、`mailto:`、`content://`、`market://`などの悪意のあるスキームを実行できます。MCPサーバーはAIエージェントによって運用されるように設計されているため、この脆弱性は特に深刻です。バージョン0.0.50で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-35394とは何ですか?
@mobilenext/mobile-mcpにおけるAndroid Intentの実行脆弱性です。
私は影響を受けていますか?
@mobilenext/mobile-mcpのバージョンが0.0.50より前のバージョンを使用している場合、この脆弱性の影響を受ける可能性があります。
どうすれば修正できますか?
@mobilenext/mobile-mcpをバージョン0.0.50以降にアップデートしてください。