Vulnerabilidad en Mobile Security Framework (CVE-2024-29190)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-918
Falsificación de solicitud en servidor (SSRF)
Fecha de publicación:
22/03/2024
Última modificación:
30/06/2025
Descripción
Mobile Security Framework (MobSF) es un framework de prueba de penetración, análisis de malware y evaluación de seguridad capaz de realizar análisis estáticos y dinámicos. En la versión 3.9.5 Beta y anteriores, MobSF no realiza ninguna validación de entrada al extraer los nombres de host en `android:host`, por lo que las solicitudes también se pueden enviar a nombres de host locales. Esto puede provocar server-side request forgery. Un atacante puede hacer que el servidor establezca una conexión con servicios exclusivamente internos dentro de la infraestructura de la organización. Commit 5a8eeee73c5f504a6c3abdf2a139a13804efdb77 tiene una revisión para este problema.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opensecurity:mobile_security_framework:*:*:*:*:*:*:*:* | 3.9.7 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://drive.google.com/file/d/1nbKMd2sKosbJef5Mh4DxjcHcQ8Hw0BNR/view?usp=share_link
- https://github.com/MobSF/Mobile-Security-Framework-MobSF/commit/5a8eeee73c5f504a6c3abdf2a139a13804efdb77
- https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-wfgj-wrgh-h3r3
- https://drive.google.com/file/d/1nbKMd2sKosbJef5Mh4DxjcHcQ8Hw0BNR/view?usp=share_link
- https://github.com/MobSF/Mobile-Security-Framework-MobSF/commit/5a8eeee73c5f504a6c3abdf2a139a13804efdb77
- https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-wfgj-wrgh-h3r3