CVE-2025-46335

Nome do Software Vulnerável e Versões Afetadas Mobile Security Framework (MobSF) versões até e incluindo a 4.3.2

Descrição Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado foi identificada no MobSF. O problema decorre da sanitização inadequada de arquivos SVG fornecidos pelo usuário durante o fluxo de trabalho de análise de APK do Android. Quando um projeto do Android Studio contém um arquivo SVG malicioso como ícone do aplicativo e o projeto é compactado em ZIP e enviado para o MobSF, a ferramenta processa e extrai o conteúdo sem validar ou sanitizar o SVG. O arquivo SVG torna-se publicamente acessível via interface web e, se contiver JavaScript incorporado, acessar a URL via navegador leva à execução do script no contexto da sessão do usuário do MobSF, resultando em XSS armazenado.

Recomendações Para versões até e incluindo a 4.3.2, atualize para a versão 4.3.3 para corrigir o problema. Como medida de contorno temporária, considere restringir o acesso ao endpoint download, especificamente para arquivos com a extensão .svg, para minimizar o risco de exploração. Evite usar o endpoint http://127.0.0.1:8081/download/filename.svg até que o problema seja resolvido.