UNKNOWNCVE-2026-35394
CVE-2026-35394:@mobilenext/mobile-mcp Intent注入,高危!
平台
nodejs
组件
@mobilenext/mobile-mcp
已修复版本
0.0.50
CVE-2026-35394 是 @mobilenext/mobile-mcp 中的一个安全漏洞,允许攻击者执行任意 Android Intent。`mobile_open_url` 工具直接将用户提供的 URL 传递给 Android 的 Intent 系统,而没有进行任何方案验证,从而导致可以执行恶意 Intent,例如 USSD 代码、电话呼叫和短信消息。此漏洞已在 @mobilenext/mobile-mcp 0.0.50 版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
什么是 CVE-2026-35394 漏洞?
CVE-2026-35394 是 @mobilenext/mobile-mcp 中的一个 Intent 注入漏洞,允许攻击者执行任意 Android Intent。
我是否受到 CVE-2026-35394 漏洞的影响?
如果您正在使用 @mobilenext/mobile-mcp 0.0.50 之前的版本,则您可能受到此漏洞的影响。
如何修复 CVE-2026-35394 漏洞?
将 @mobilenext/mobile-mcp 升级到 0.0.50 或更高版本即可修复此漏洞。