Platform
nodejs
Component
@mobilenext/mobile-mcp
Opgelost in
0.0.51
0.0.50
In @mobilenext/mobile-mcp is een kwetsbaarheid ontdekt in de mobileopenurl tool. Deze tool geeft user-supplied URLs direct door aan Android's intent systeem zonder scheme validatie, waardoor het mogelijk is om willekeurige Android intents uit te voeren, inclusief USSD codes, telefoonoproepen, SMS berichten en content provider toegang. Deze kwetsbaarheid treft versies van @mobilenext/mobile-mcp voor 0.0.50. Een patch is beschikbaar.
CVE-2026-35394 in mobile-mcp, specifiek binnen de tool mobileopenurl, maakt de uitvoering van willekeurige Android intents mogelijk. Dit komt doordat de tool gebruikersinvoer-URL's rechtstreeks naar het Android intent-systeem doorstuurt zonder schema-validatie. Een aanvaller kan dit misbruiken om ongewenste acties op het Android-apparaat te initiëren, zoals telefoongesprekken voeren, SMS-berichten verzenden, toegang krijgen tot content provider-gegevens of zelfs kwaadaardige USSD-codes uitvoeren. De ernst van deze kwetsbaarheid wordt beoordeeld als 8.3 op de CVSS-schaal, wat een hoog risico aangeeft.
Een aanvaller kan deze kwetsbaarheid benutten in een omgeving waar hij controle heeft over de URL's die aan de tool mobileopenurl worden verstrekt. Dit kan gebeuren in een ontwikkel- of testscenario, of zelfs in een productieomgeving als de tool wordt gebruikt om URL's te openen die door de gebruiker worden verstrekt. De aanvaller kan een kwaadaardige URL maken met een schema zoals tel:, sms: of ussd: en de gebruiker ertoe verleiden erop te klikken, wat resulteert in de uitvoering van de kwaadaardige intent. Het ontbreken van schema-validatie stelt aanvallers in staat om de standaard Android-beveiligingsmaatregelen te omzeilen.
Organizations utilizing @mobilenext/mobile-mcp in their AI agent workflows or mobile application testing environments are at significant risk. Specifically, those relying on automated processes to handle URLs or those with legacy configurations that do not enforce strict URL validation are particularly vulnerable.
• nodejs: Inspect code for usage of adb shell am start -a android.intent.action.VIEW -d with user-supplied URLs without scheme validation.
grep -r 'adb shell am start -a android.intent.action.VIEW -d' . |
grep -i 'url'• generic web: Monitor access logs for requests containing suspicious URL schemes (tel:, sms:, mailto:, content://, market://).
grep -i 'tel:|sms:|mailto:|content:\/\/|market:\/\/' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te updaten naar versie 0.0.50 van mobile-mcp. Deze versie corrigeert het probleem door het URL-schema te valideren voordat het naar het Android intent-systeem wordt doorgegeven. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico op misbruik te verminderen. Controleer bovendien alle scripts of processen die mobileopenurl gebruiken om ervoor te zorgen dat URL's afkomstig zijn van vertrouwde bronnen en geen potentieel gevaarlijke schema's bevatten. Het monitoren van systeemlogboeken op verdachte activiteiten met betrekking tot intent-uitvoering kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice a la versión 0.0.50 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para evitar la ejecución de intenciones Android arbitrarias.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een Android Intent is een berichtenobject dat wordt gebruikt om een actie van een andere app-component aan te vragen. Het wordt gebruikt voor communicatie tussen verschillende componenten binnen een applicatie of tussen verschillende applicaties.
USSD-codes stellen aanvallers in staat om rechtstreeks met het mobiele netwerk van de operator te communiceren, waardoor ze mogelijk gebruikersinformatie kunnen verkrijgen, gesprekken kunnen omleiden of zelfs frauduleuze kosten kunnen maken.
Als u vermoedt dat u het slachtoffer bent van deze kwetsbaarheid, update dan onmiddellijk naar versie 0.0.50 van mobile-mcp. U moet ook de systeemlogboeken controleren op verdachte activiteiten en overwegen om wachtwoorden voor alle accounts te wijzigen die mogelijk zijn gecompromitteerd.
Als u niet onmiddellijk kunt updaten, vermijd dan het gebruik van de tool mobileopenurl met niet-vertrouwde URL's. Implementeer strenge invoercontroles om URL's te valideren voordat u ze naar de tool doorstuurt.
KEV: nee geeft aan dat deze kwetsbaarheid niet is geregistreerd in de Knowledgebase of Exploitable Vulnerabilities (KEV).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.