Execução de Intents Mobile-MCP: RCE via URL - CVE-2026-35394 (v0.0.50)
Plataforma
nodejs
Componente
@mobilenext/mobile-mcp
Corrigido em
0.0.50
Uma vulnerabilidade de Remote Code Execution (RCE) foi descoberta no `mobile_open_url` tool do mobile-mcp. A ferramenta passa URLs fornecidos pelo usuário diretamente para o sistema de intents do Android sem validação de esquema, permitindo a execução de intents arbitrários, incluindo códigos USSD, chamadas telefônicas, mensagens SMS e acesso a provedores de conteúdo.
Como corrigir
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Perguntas frequentes
O que é CVE-2026-35394?
É uma vulnerabilidade RCE no mobile-mcp que permite a execução de intents Android arbitrários.
Estou afetado?
Se você estiver usando uma versão do mobile-mcp anterior a 0.0.50, você está vulnerável.
Como corrigir?
Atualize para a versão 0.0.50 ou superior.
Monitore suas dependências automaticamente
Receba alertas quando novas vulnerabilidades afetarem seus projetos.
Começar grátis