プラットフォーム
nodejs
コンポーネント
@mobilenext/mobile-mcp
修正版
0.0.51
0.0.50
@mobilenext/mobile-mcpのmobileopenurlツールは、Androidのintentシステムにユーザーが提供したURLを直接渡します。URLスキームの検証がないため、tel:、sms:、mailto:、content://、market://などの悪意のあるスキームを実行できます。MCPサーバーはAIエージェントによって運用されるように設計されているため、この脆弱性は特に深刻です。バージョン0.0.50で修正されました。
mobile-mcp の CVE-2026-35394 は、特に mobileopenurl ツールにおいて、任意の Android インテントの実行を可能にします。これは、ツールがユーザーが提供する URL を、スキーム検証なしで Android インテントシステムに直接渡すためです。攻撃者はこれを悪用して、電話の発信、SMS メッセージの送信、コンテンツプロバイダーデータへのアクセス、または悪意のある USSD コードの実行など、Android デバイス上で望ましくないアクションを開始する可能性があります。この脆弱性の重大度は CVSS スケールで 8.3 と評価されており、高いリスクを示しています。
攻撃者は、mobileopenurl ツールに提供される URL を制御できる環境でこの脆弱性を悪用する可能性があります。これは、開発またはテストのシナリオ、またはユーザーが提供する URL を開くためにツールが使用される本番環境で発生する可能性があります。攻撃者は tel:、sms:、または ussd: などのスキームを持つ悪意のある URL を作成し、ユーザーを騙してクリックさせ、その結果、悪意のあるインテントが実行されます。スキーム検証の欠如により、攻撃者は標準の Android セキュリティ保護を回避できます。
Organizations utilizing @mobilenext/mobile-mcp in their AI agent workflows or mobile application testing environments are at significant risk. Specifically, those relying on automated processes to handle URLs or those with legacy configurations that do not enforce strict URL validation are particularly vulnerable.
• nodejs: Inspect code for usage of adb shell am start -a android.intent.action.VIEW -d with user-supplied URLs without scheme validation.
grep -r 'adb shell am start -a android.intent.action.VIEW -d' . |
grep -i 'url'• generic web: Monitor access logs for requests containing suspicious URL schemes (tel:, sms:, mailto:, content://, market://).
grep -i 'tel:|sms:|mailto:|content:\/\/|market:\/\/' /var/log/apache2/access.logdisclosure
エクスプロイト状況
EPSS
0.05% (16% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性の解決策は、mobile-mcp をバージョン 0.0.50 に更新することです。このバージョンは、Android インテントシステムに URL を渡す前に URL スキームを検証することで、この問題を修正しています。搾取のリスクを軽減するために、できるだけ早くこの更新を適用することを強くお勧めします。さらに、mobileopenurl を使用するすべてのスクリプトまたはプロセスを確認し、URL が信頼できるソースから提供され、潜在的に危険なスキームが含まれていないことを確認してください。インテントの実行に関連する疑わしいアクティビティについてシステムログを監視することも、潜在的な攻撃を検出および対応するのに役立ちます。
Actualice a la versión 0.0.50 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para evitar la ejecución de intenciones Android arbitrarias.
脆弱性分析と重要アラートをメールでお届けします。
Android Intent は、別のアプリコンポーネントからアクションを要求するために使用されるメッセージオブジェクトです。これは、アプリケーション内のさまざまなコンポーネント間、または異なるアプリケーション間で通信するために使用されます。
USSD コードにより、攻撃者はモバイルオペレーターのネットワークと直接やり取りできるようになり、ユーザー情報を取得したり、通話を転送したり、不正な料金を請求したりする可能性があります。
この脆弱性の被害に遭った可能性がある場合は、mobile-mcp をすぐにバージョン 0.0.50 に更新してください。また、システムログを疑わしいアクティビティについて確認し、侵害された可能性があるアカウントのパスワードを変更することを検討してください。
すぐに更新できない場合は、信頼できない URL を使用して mobileopenurl ツールを使用しないでください。ツールに URL を渡す前に、URL を検証するための厳格な入力制御を実装してください。
KEV: いいえは、この脆弱性が Exploitable Vulnerabilities の Knowledgebase (KEV) に登録されていないことを示します。
依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。