CVE-2026-35394

Name of the Vulnerable Software and Affected Versions Mobile Next versões anteriores a 0.0.50

Description A ferramenta mobile open url em Mobile Next passa URLs fornecidos pelo usuário diretamente para o sistema de intents do Android sem validação de esquema, permitindo potencialmente a execução de intents arbitrários do Android, incluindo códigos USSD, chamadas telefônicas, mensagens SMS e acesso ao provedor de conteúdo. Isso pode permitir que um invasor, por meio de injeção de prompt, execute intents perigosos em um dispositivo móvel conectado. A vulnerabilidade é explorável por meio de documentos ou sites maliciosos que injetam instruções em um agente de IA que controla o servidor MCP. Um invasor pode executar códigos USSD, iniciar chamadas telefônicas para números de taxa premium, redigir mensagens SMS com conteúdo controlado pelo invasor e acessar provedores de conteúdo como contatos, SMS e registros de chamadas.

Recommendations Atualize para a versão 0.0.50 ou posterior. Usuários que exigem outros esquemas de URL podem definir MOBILEMCP ALLOW UNSAFE URLS=1.