Ldomenx

Nome do software vulnerável e versões afetadas: Mobile Security Framework (MobSF) versões anteriores à 4.2.9 Descrição: O aplicativo permite que os usuários enviem arquivos com scripts no parâmetro `filename`. Consequentemente, um usuário mal-intencionado pode enviar um arquivo de script para o sistema. Quando os usuários do aplicativo utilizam a funcionalidade “Diff or Compare”, eles são afetados por uma vulnerabilidade de Stored Cross-Site Scripting. Esse problema ocorre porque a funcionalidade de upload permite que os usuários enviem arquivos com caracteres especiais, como `<`, `>`, `/` e `"` no `filename`. A vulnerabilidade pode ser explorada para roubar informações de outros usuários ou administradores quando eles executam a funcionalidade de comparação. Recomendações: Para versões anteriores à 4.2.9, atualize para a versão 4.2.9 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir os uploads de arquivos a nomes de arquivo que contenham apenas caracteres da lista de permissões, como A-Z, 0-9 e caracteres especiais específicos permitidos por requisitos de negócios, como `-` ou ` `. Além disso, evite usar a funcionalidade “Diff or Compare” até que o problema seja resolvido.