CVE-2025-46730

Nome do Software Vulnerável e Versões Afetadas Versões do MobSF até e incluindo a 4.3.2

Descrição O MobSF é uma ferramenta de teste de segurança de aplicativos móveis utilizada por equipes de segurança em diversas organizações, tipicamente implantada em servidores internos centralizados ou baseados em nuvem. A ferramenta disponibiliza uma funcionalidade que permite aos usuários carregar arquivos ZIP para análise estática, os quais são automaticamente extraídos e armazenados dentro do diretório do MobSF. No entanto, esta funcionalidade não possui uma verificação do tamanho total descompactado do arquivo ZIP, tornando-a vulnerável a um ataque ZIP of Death (zip bomb). Um atacante pode criar um arquivo ZIP especialmente preparado que é pequeno na forma compactada, mas se expande para um tamanho massivo após a extração, esgotando o espaço em disco do servidor e levando a uma negação de serviço (DoS) completa, não apenas para o MobSF, mas também para quaisquer outros aplicativos ou sites hospedados no mesmo servidor. Esta vulnerabilidade pode levar à interrupção completa do servidor em uma organização, afetando também outros portais e ferramentas internas.

Recomendações Para versões até e incluindo a 4.3.2, atualize para uma versão que inclua a correção, como a versão após o commit 6987a946485a795f4fd38cebdb4860b368a1995d. Como mitigação adicional, implemente uma salvaguarda que verifique o tamanho total descompactado de qualquer arquivo ZIP carregado antes da extração, rejeitando arquivos que excedam um limite seguro, como 100 MB, e notifique o usuário.