发布日期：2024-12-03
更新日期：2025-01-20

受影响系统：

Mobile Security Framework Mobile Security Framework < 3.9.7

描述：

---

CVE(CAN) ID: CVE-2024-54000

Mobile Security Framework（MobSF）是Mobile Security Framework开源的一种自动化的一体化移动应用程序，用于渗透测试、恶意软件分析和安全评估，能够执行静态和动态分析。
Mobile Security Framework 3.9.7之前版本存在服务端请求伪造漏洞，该漏洞源于_check_url方法中的request.get请求被指定为allow_redirects=True，攻击者利用该漏洞可以使服务器与组织基础设施内仅供内部使用的服务建立连接。

<**>

建议：

---

厂商补丁：

Mobile Security Framework
-------------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/MobSF/Mobile-Security-Framework-MobSF/commit/f22c584aa7d43527970c9da61eb678953cfc0a8e

浏览次数：153
严重程度：0（网友投票）