CVE-2025-24805 描述了 Mobile Security Framework (MobSF) 中的特权提升漏洞。该漏洞允许任何注册用户获取 API Token,从而获得所有权限,导致潜在的信息泄露风险。该漏洞影响 MobSF 版本小于或等于 4.3.0 的用户。已发布 4.3.1 版本以解决此问题。
该漏洞的根本原因是 MobSF 用户角色管理机制不够完善。攻击者无需进行复杂操作,即可通过注册账户获取 API Token,并利用该 Token 访问系统中的敏感信息。攻击者可能能够未经授权地访问源代码,从而发现潜在的安全漏洞或窃取商业机密。由于 MobSF 通常用于移动应用的安全测试,因此该漏洞可能导致测试结果的不可靠性,甚至可能被恶意利用来攻击目标应用。
该漏洞已公开披露,且存在潜在的利用风险。目前尚无公开的利用程序 (PoC),但由于漏洞的简单性,预计未来可能会出现。该漏洞已添加到 CISA KEV 目录中,表明其具有中等概率被利用。建议密切关注安全社区的动态,及时采取应对措施。
Organizations using MobSF to analyze mobile applications, particularly those handling sensitive data, are at risk. Teams relying on MobSF for automated security assessments and continuous integration/continuous delivery (CI/CD) pipelines are especially vulnerable, as a compromised MobSF instance could introduce vulnerabilities into the build process.
• python / server:
grep -r 'API_TOKEN_GENERATION_ENABLED' /opt/mobsf/config.py• python / server:
journalctl -u mobsf | grep -i "API token generated"• generic web:
curl -I http://<mobsf_server>/api/v1/users/me/token
disclosure
漏洞利用状态
EPSS
0.21% (43% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级到 MobSF 4.3.1 或更高版本。如果升级不可行,可以考虑限制 MobSF 的访问权限,仅允许授权用户访问。此外,定期审查 MobSF 的用户角色和权限设置,确保其配置符合安全最佳实践。由于该漏洞利用了 API Token 的权限管理问题,建议禁用或限制不必要的 API 功能,并实施更严格的身份验证机制。
Actualice MobSF a la versión 4.3.1 o superior. Esta versión corrige la vulnerabilidad de escalada de privilegios local. No existen soluciones alternativas conocidas, por lo que la actualización es la única forma de mitigar el riesgo.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-24805 是 Mobile Security Framework (MobSF) 中一个特权提升漏洞,允许注册用户获取具有所有权限的 API Token,导致信息泄露。
如果您正在使用 MobSF 版本小于或等于 4.3.0,则可能受到此漏洞的影响。请立即升级到 4.3.1 或更高版本。
升级到 MobSF 4.3.1 或更高版本是修复此漏洞的最佳方法。如果无法升级,请限制 MobSF 的访问权限。
目前尚无公开的利用程序,但由于漏洞的简单性,预计未来可能会出现。建议密切关注安全社区的动态。
请访问 MobSF 的官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。
上传你的 requirements.txt 文件,立即知道是否受影响。