Plataforma
nodejs
Componente
@mobilenext/mobile-mcp
Corrigido em
0.0.51
0.0.50
Uma vulnerabilidade de Remote Code Execution (RCE) foi descoberta no mobileopenurl tool do mobile-mcp. A ferramenta passa URLs fornecidos pelo usuário diretamente para o sistema de intents do Android sem validação de esquema, permitindo a execução de intents arbitrários, incluindo códigos USSD, chamadas telefônicas, mensagens SMS e acesso a provedores de conteúdo.
A vulnerabilidade CVE-2026-35394 no mobile-mcp, especificamente na ferramenta mobileopenurl, permite a execução de intenções Android arbitrárias. Isso ocorre porque a ferramenta passa URLs fornecidas pelo usuário diretamente para o sistema de intenções do Android sem realizar uma validação do esquema. Um atacante pode explorar isso para iniciar ações indesejadas no dispositivo Android, como fazer chamadas telefônicas, enviar mensagens SMS, acessar dados do provedor de conteúdo ou até mesmo executar códigos USSD maliciosos. A gravidade desta vulnerabilidade é classificada como 8.3 na escala CVSS, indicando um risco alto.
Um atacante pode aproveitar esta vulnerabilidade em um ambiente onde tem controle sobre as URLs fornecidas à ferramenta mobileopenurl. Isso pode ocorrer em um cenário de desenvolvimento ou testes, ou até mesmo em um ambiente de produção se a ferramenta for usada para abrir URLs fornecidas pelo usuário. O atacante pode criar uma URL maliciosa com um esquema como tel:, sms:, ou ussd: e enganar o usuário para que clique nela, resultando na execução da intenção maliciosa. A falta de validação do esquema permite que os atacantes contornem as proteções de segurança padrão do Android.
Organizations utilizing @mobilenext/mobile-mcp in their AI agent workflows or mobile application testing environments are at significant risk. Specifically, those relying on automated processes to handle URLs or those with legacy configurations that do not enforce strict URL validation are particularly vulnerable.
• nodejs: Inspect code for usage of adb shell am start -a android.intent.action.VIEW -d with user-supplied URLs without scheme validation.
grep -r 'adb shell am start -a android.intent.action.VIEW -d' . |
grep -i 'url'• generic web: Monitor access logs for requests containing suspicious URL schemes (tel:, sms:, mailto:, content://, market://).
grep -i 'tel:|sms:|mailto:|content:\/\/|market:\/\/' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para a versão 0.0.50 do mobile-mcp. Esta versão corrige o problema validando o esquema da URL antes de passá-la para o sistema de intenções do Android. Recomenda-se fortemente aplicar esta atualização o mais rápido possível para mitigar o risco de exploração. Além disso, revise quaisquer scripts ou processos que utilizem mobileopenurl para garantir que as URLs sejam de fontes confiáveis e não contenham esquemas potencialmente perigosos. Monitorar os logs do sistema em busca de atividades suspeitas relacionadas à execução de intenções também pode ajudar a detectar e responder a possíveis ataques.
Actualice a la versión 0.0.50 o posterior para mitigar la vulnerabilidad. Esta versión implementa la validación del esquema de URL para evitar la ejecución de intenciones Android arbitrarias.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Uma intenção Android é um objeto de mensagem usado para solicitar uma ação de outro componente de aplicativo. É usado para comunicação entre diferentes componentes dentro de um aplicativo ou entre diferentes aplicativos.
Os códigos USSD permitem que os atacantes interajam diretamente com a rede do operador móvel, potencialmente permitindo que obtenham informações do usuário, desviem chamadas ou até mesmo façam cobranças fraudulentas.
Se você suspeitar que foi vítima desta vulnerabilidade, atualize imediatamente para a versão 0.0.50 do mobile-mcp. Você também deve revisar os logs do sistema em busca de atividades suspeitas e considerar alterar as senhas de quaisquer contas que possam ter sido comprometidas.
Se você não puder atualizar imediatamente, evite usar a ferramenta mobileopenurl com URLs não confiáveis. Implemente controles de entrada rígidos para validar as URLs antes de passá-las para a ferramenta.
KEV: não indica que esta vulnerabilidade não foi registrada no Knowledgebase of Exploitable Vulnerabilities (KEV).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.