CVE-2025-24805

Nome do Software Vulnerável e Versões Afetadas: Mobile Security Framework (MobSF) versões anteriores à 4.3.1

Descrição: Esta vulnerabilidade permite que um usuário local com privilégios mínimos utilize um token de acesso para recursos em escopos para os quais não deveria ser aceito. Isso se deve a um gerenciamento inadequado de privilégios, onde qualquer usuário registrado pode obter um token de API com todos os privilégios. O componente vulnerável é o componente de saída de código, e a exploração requer um usuário autorizado. Não há soluções alternativas conhecidas para este problema.

Recomendações: Para versões anteriores à 4.3.1, atualize para a versão 4.3.1 para corrigir o problema. Como solução alternativa temporária, considere remover a saída do token no script JS retornado para minimizar o risco de exploração. Restrinja o acesso ao componente de saída de código (/source code) para minimizar o risco de exploração. Evite usar o token de API com todos os privilégios no endpoint de API afetado até que o problema seja resolvido.