خانه » CVE-2025-46335
هشدار‌های سایبری

CVE-2025-46335

Mobile Security Framework (MobSF) Allows Stored Cross Site Scripting (XSS) Via Malicious SVG Icon Upload

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 6 بازدید
هشدار سایبری CVE-2025-46335
  • شناسه CVE-2025-46335 :CVE
  • CWE-79 :CWE
  • yes :Advisory
  • منتشر شده: می 5, 2025
  • به روز شده: می 5, 2025
  • امتیاز: 8.6
  • نوع حمله: Cross Site Scripting (XSS)
  • اثر گذاری: Unknown
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: MobSF
  • محصول: MobSF
  • وضعیتPublished :CVE
  • Yes :POC
  • وضعیت آسیب پذیری: patch نشده

چکیده

در ابزار امنیتی MobSF نسخه‌های پایین‌تر از 4.3.3، یک آسیب‌پذیری از نوع XSS ذخیره‌شده (Stored Cross-Site Scripting) شناسایی شده است. مهاجم می‌تواند با بارگذاری یک فایل SVG مخرب، کدهای JavaScript را به صورت پایدار در رابط کاربری درج کند، به گونه ای این کدها هنگام مشاهده توسط سایر کاربران، در مرورگر آنها اجرا شود.

توضیحات

ابزار Mobile Security Framework  که برای تحلیل امنیتی اپلیکیشن‌های موبایل در پلتفرم‌های Android، iOS و Windows Mobile مورد استفاده قرار می گیرد، در فرآیند تحلیل فایل‌های APK امکان بارگذاری فایل‌های SVG را فراهم می کند. در نسخه‌های پایین‌تر از 4.3.3، ورودی‌های SVG بارگذاری‌شده به‌درستی پاک‌سازی (sanitize) نمی‌شوند. این آسیب پذیری امنیتی به مهاجم اجازه می‌دهد با بارگذاری یک فایل SVG حاوی کدهای مخرب JavaScript، حمله‌ای از نوع Stored Cross-Site Scripting (XSS) را اجرا کند.

CVSS

Score Severity Version Vector String
8.6 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N

لیست محصولات آسیب پذیر

Versions Platforms Product
affected at < 4.3.3 Android, iOS, Windows Mobile Mobile-Security-Framework-MobSF

لیست محصولات بروز شده

Versions Platforms Product
4.3.3 Android, iOS, Windows Mobile Mobile-Security-Framework-MobSF

نتیجه گیری

توصیه می‌شود کاربران و مدیران سامانه، ابزار MobSF را به نسخه 4.3.3 یا جدیدتر به‌روزرسانی کنند. علاوه بر آن، محدودسازی بارگذاری فایل‌های SVG و استفاده از روش‌های آنتی XSS در رابط کاربری از جمله اقدامات امنیتی تکمیلی پیشنهادی هستند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-46335
  2. https://www.cvedetails.com/cve/CVE-2025-46335/
  3. https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-mwfg-948f-2cc5
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-46335
  5. https://vuldb.com/?id.307509
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-46335
  7. https://github.com/MobSF/Mobile-Security-Framework-MobSF/commit/6987a946485a795f4fd38cebdb4860b368a1995d
  8. https://cwe.mitre.org/data/definitions/79.html

همچنین ممکن است دوست داشته باشید

CVE-2025-3224

CVE-2025-46730

CVE-2025-1992

CVE-2025-1493

CVE-2025-1000

CVE-2025-0915

CVE-2025-4299

CVE-2025-4298

CVE-2025-4096

CVE-2025-4050

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.