PT-2024-36007 · Unknown · Mobile Security Framework
Aydinnyunus
+1
·
Publicado
2024-12-03
·
Atualizado
2025-06-27
·
CVE-2024-54000
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas:
Mobile Security Framework (MobSF) versões anteriores à 3.9.7
Descrição:
O problema diz respeito a uma vulnerabilidade de falsificação de solicitação do lado do servidor. Ela ocorre quando a solicitação
requests.get() no método check url é definida como allow redirects=True, permitindo um redirecionamento quando uma solicitação para .well-known/assetlinks.json retorna um redirecionamento 302. Essa vulnerabilidade é uma contornada de uma correção anterior.Recomendações:
Para versões anteriores à 3.9.7, atualize para a versão 3.9.7 para resolver o problema. Como solução alternativa temporária, considere definir
allow redirects=False na solicitação requests.get() do método check url para impedir a falsificação de solicitação do lado do servidor. Restrinja o acesso ao método check url para minimizar o risco de exploração.Exploit
Correção
SSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mobile Security Framework