移动安全框架 (MobSF) 绕过 SSRF 修复 (CVE-2024-54000)
CVE编号
CVE-2024-54000
利用情况
暂无
补丁情况
N/A
披露时间
2024-12-04
漏洞描述
Mobile Security Framework(MobSF)是一个渗透测试、恶意软件分析和安全评估框架,能够进行静态和动态分析。在版本低于3.9.7的情况下,_check_url方法中的requests.get()请求指定了allow_redirects=True,这允许在请求“.well-known/assetlinks.json”时发生服务器端的请求伪造,当该请求返回302重定向时即可绕过CVE-2024-29190漏洞的修复。这一问题已在版本3.9.7中得到修复。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/MobSF/Mobile-Security-Framework-MobSF/commit/f22c584aa7d43...
https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/...
文章评论