CVE-2024-53999

Nome do software vulnerável e versões afetadas:

Mobile Security Framework (MobSF) versões anteriores à 4.2.9

Descrição:

O aplicativo permite que os usuários enviem arquivos com scripts no parâmetro filename. Consequentemente, um usuário mal-intencionado pode enviar um arquivo de script para o sistema. Quando os usuários do aplicativo utilizam a funcionalidade “Diff or Compare”, eles são afetados por uma vulnerabilidade de Stored Cross-Site Scripting. Esse problema ocorre porque a funcionalidade de upload permite que os usuários enviem arquivos com caracteres especiais, como <, >, / e " no filename. A vulnerabilidade pode ser explorada para roubar informações de outros usuários ou administradores quando eles executam a funcionalidade de comparação.

Recomendações:

Para versões anteriores à 4.2.9, atualize para a versão 4.2.9 para corrigir a vulnerabilidade. Como solução alternativa temporária, considere restringir os uploads de arquivos a nomes de arquivo que contenham apenas caracteres da lista de permissões, como A-Z, 0-9 e caracteres especiais específicos permitidos por requisitos de negócios, como - ou . Além disso, evite usar a funcionalidade “Diff or Compare” até que o problema seja resolvido.