Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-08880

Опубликовано: 05 фев. 2025
Источник: fstec
CVSS3: 2.4
CVSS2: 4
EPSS Низкий

Описание

Уязвимость компонента urls.py фреймворка для исследования безопасности мобильных приложений Mobile Security Framework (MobSF) связана с неправильной проверкой указанного типа входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

OPENSECURITY

Наименование ПО

Mobile Security Framework (MobSF)

Версия ПО

до 4.3.1 (Mobile Security Framework (MobSF))

Тип ПО

Программное средство защиты

Операционные системы и аппаратные платформы

Apple Inc. tvOS -
Apple Inc. watchOS -
Apple Inc. Mac OS -
Apple Inc. iOS -
Apple Inc. iPadOS -
Apple Inc. visionOS -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 2,4)
Средний уровень опасности (оценка CVSS 4.0 составляет 4,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-jrm8-xgf3-fwqr

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 30%
0.00111
Низкий

2.4 Low

CVSS3

4 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-24804

CVSS3: 4.3
nvd
7 месяцев назад

Mobile Security Framework (MobSF) is an automated, all-in-one mobile application (Android/iOS/Windows) pen-testing, malware analysis and security assessment framework. According to Apple's documentation for bundle ID's, it must contain only alphanumeric characters (A–Z, a–z, and 0–9), hyphens (-), and periods (.). However, an attacker can manually modify this value in the `Info.plist` file and add special characters to the `<key>CFBundleIdentifier</key>` value. When the application parses the wrong characters in the bundle ID, it encounters an error. As a result, it will not display content and will throw a 500 error instead. The only way to make the pages work again is to manually remove the malicious application from the system. This issue has been addressed in version 4.3.1 and all users are advised to upgrade. There are no known workarounds for this vulnerability.

github логотип

GHSA-jrm8-xgf3-fwqr

CVSS3: 6.5
github
7 месяцев назад

MobSF Partial Denial of Service (DoS)

EPSS

Процентиль: 30%
0.00111
Низкий

2.4 Low

CVSS3

4 Medium

CVSS2