@mobilenext/mobile-mcp: Willekeurige Android Intent Uitvoering via mobile_open_url
Platform
nodejs
Component
@mobilenext/mobile-mcp
Opgelost in
0.0.51
0.0.50
In @mobilenext/mobile-mcp is een kwetsbaarheid ontdekt in de mobileopenurl tool. Deze tool geeft user-supplied URLs direct door aan Android's intent systeem zonder scheme validatie, waardoor het mogelijk is om willekeurige Android intents uit te voeren, inclusief USSD codes, telefoonoproepen, SMS berichten en content provider toegang. Deze kwetsbaarheid treft versies van @mobilenext/mobile-mcp voor 0.0.50. Een patch is beschikbaar.
Impact en Aanvalsscenarios
CVE-2026-35394 in mobile-mcp, specifiek binnen de tool mobileopenurl, maakt de uitvoering van willekeurige Android intents mogelijk. Dit komt doordat de tool gebruikersinvoer-URL's rechtstreeks naar het Android intent-systeem doorstuurt zonder schema-validatie. Een aanvaller kan dit misbruiken om ongewenste acties op het Android-apparaat te initiëren, zoals telefoongesprekken voeren, SMS-berichten verzenden, toegang krijgen tot content provider-gegevens of zelfs kwaadaardige USSD-codes uitvoeren. De ernst van deze kwetsbaarheid wordt beoordeeld als 8.3 op de CVSS-schaal, wat een hoog risico aangeeft.
Uitbuitingscontext
Een aanvaller kan deze kwetsbaarheid benutten in een omgeving waar hij controle heeft over de URL's die aan de tool mobileopenurl worden verstrekt. Dit kan gebeuren in een ontwikkel- of testscenario, of zelfs in een productieomgeving als de tool wordt gebruikt om URL's te openen die door de gebruiker worden verstrekt. De aanvaller kan een kwaadaardige URL maken met een schema zoals tel:, sms: of ussd: en de gebruiker ertoe verleiden erop te klikken, wat resulteert in de uitvoering van de kwaadaardige intent. Het ontbreken van schema-validatie stelt aanvallers in staat om de standaard Android-beveiligingsmaatregelen te omzeilen.
Wie Loopt Risicowordt vertaald…
Organizations utilizing @mobilenext/mobile-mcp in their AI agent workflows or mobile application testing environments are at significant risk. Specifically, those relying on automated processes to handle URLs or those with legacy configurations that do not enforce strict URL validation are particularly vulnerable.
Detectiestappenwordt vertaald…
• nodejs: Inspect code for usage of adb shell am start -a android.intent.action.VIEW -d with user-supplied URLs without scheme validation.
grep -r 'adb shell am start -a android.intent.action.VIEW -d' . |
grep -i 'url'• generic web: Monitor access logs for requests containing suspicious URL schemes (tel:, sms:, mailto:, content://, market://).
grep -i 'tel:|sms:|mailto:|content:\/\/|market:\/\/' /var/log/apache2/access.logAanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
- Availability
- Hoog — volledige crash of uitputting van resources. Totale denial of service.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De oplossing voor deze kwetsbaarheid is om te updaten naar versie 0.0.50 van mobile-mcp. Deze versie corrigeert het probleem door het URL-schema te valideren voordat het naar het Android intent-systeem wordt doorgegeven. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico op misbruik te verminderen. Controleer bovendien alle scripts of processen die mobileopenurl gebruiken om ervoor te zorgen dat URL's afkomstig zijn van vertrouwde bronnen en geen potentieel gevaarlijke schema's bevatten. Het monitoren van systeemlogboeken op verdachte activiteiten met betrekking tot intent-uitvoering kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Hoe te verhelpenwordt vertaald…
Actualice a la versión 0.0.50 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para evitar la ejecución de intenciones Android arbitrarias.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-35394 in @mobilenext/mobile-mcp?
Een Android Intent is een berichtenobject dat wordt gebruikt om een actie van een andere app-component aan te vragen. Het wordt gebruikt voor communicatie tussen verschillende componenten binnen een applicatie of tussen verschillende applicaties.
Ben ik getroffen door CVE-2026-35394 in @mobilenext/mobile-mcp?
USSD-codes stellen aanvallers in staat om rechtstreeks met het mobiele netwerk van de operator te communiceren, waardoor ze mogelijk gebruikersinformatie kunnen verkrijgen, gesprekken kunnen omleiden of zelfs frauduleuze kosten kunnen maken.
Hoe los ik CVE-2026-35394 in @mobilenext/mobile-mcp op?
Als u vermoedt dat u het slachtoffer bent van deze kwetsbaarheid, update dan onmiddellijk naar versie 0.0.50 van mobile-mcp. U moet ook de systeemlogboeken controleren op verdachte activiteiten en overwegen om wachtwoorden voor alle accounts te wijzigen die mogelijk zijn gecompromitteerd.
Wordt CVE-2026-35394 actief misbruikt?
Als u niet onmiddellijk kunt updaten, vermijd dan het gebruik van de tool mobileopenurl met niet-vertrouwde URL's. Implementeer strenge invoercontroles om URL's te valideren voordat u ze naar de tool doorstuurt.
Waar vind ik het officiële @mobilenext/mobile-mcp-beveiligingsadvies voor CVE-2026-35394?
KEV: nee geeft aan dat deze kwetsbaarheid niet is geregistreerd in de Knowledgebase of Exploitable Vulnerabilities (KEV).
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.