В популярной платформе для тестирования безопасности мобильных приложений Mobile Security Framework (MobSF) версии 4.4.0 выявлены две серьезные уязвимости, позволяющие аутентифицированным злоумышленникам осуществлять обход путей и произвольную запись файлов. Проблемы, получившие идентификаторы CVE-2025-58161 и CVE-2025-58162, могут привести к компрометации целостности системы и утечке конфиденциальных данных.
Детали уязвимостей
Уязвимости связаны с недостаточными механизмами проверки путей в процедурах обработки файлов MobSF. Обе проблемы используют слабые места в защите платформы от перемещения по каталогам, позволяя пользователям с действительными учетными данными получать доступ или изменять файлы за пределами предназначенных для этого директорий.
Первая уязвимость (CVE-2025-58161) представляет собой обход каталогов в конечной точке GET /download/<filename>. Проблема возникает из-за использования MobSF функции os.path.commonprefix для проверки путей, которая выполняет строковые сравнения вместо анализа компонентов пути. При обработке запросов на скачивание система некорректно проверяет пути к файлам, что позволяет аутентифицированным пользователям получать доступ к файлам из "соседних" каталогов, абсолютные пути которых имеют одинаковый строковый префикс с предполагаемым каталогом загрузки.
Вторая, более серьезная уязвимость (CVE-2025-58162) позволяет осуществлять произвольную запись файлов через специально созданные .a архивы во время статического анализа iOS. Когда MobSF обрабатывает статически связанные библиотеки, он извлекает встроенные объекты в файловую систему без должной проверки имен файлов в архиве. Злоумышленники могут создавать специально сконструированные .a файлы, содержащие элементы с абсолютными путями. Во время извлечения операция Path(dst) / filename разрешается в абсолютный путь, когда имя файла начинается с / или C:/, что эффективно обходит ограничения целевого каталога.
Уязвимость обхода каталогов получила низкий уровень серьезности с баллом CVSS 0.0, поскольку она позволяет только утечку данных из каталогов-братьев с определенными шаблонами имен. Однако уязвимость произвольной записи файлов имеет средний уровень серьезности с баллом CVSS 6.0 из-за своего потенциала для компрометации системы.
Успешная эксплуатация CVE-2025-58162 может привести к нарушению работы системы через повреждение базы данных, подделке результатов анализа путем перезаписи артефактов, межсайтовому скриптингу через модификацию шаблонов и повышению привилегий в неправильно сконфигурированных контейнерных средах. Обе уязвимости требуют наличия аутентифицированного доступа к платформе MobSF, что ограничивает их немедленную эксплуатируемость только пользователями с действительными учетными данными.
Уязвимости были обнаружены исследователем безопасности noname1337h1 (Василием Лещенко из Solar AppSec) и ответственно раскрыты команде разработчиков MobSF. Проблемы устранены в версии MobSF 4.4.1, в которой реализованы надлежащие механизмы проверки и нормализации путей.
Организациям, использующим MobSF, настоятельно рекомендуется немедленно обновиться до версии 4.4.1. Исправления устраняют обе уязвимости путем реализации правильного сравнения компонентов пути вместо совпадения строковых префиксов, отказа от абсолютных путей в процедурах извлечения архивов и добавления комплексной нормализации путей перед файловыми операциями.
Обнаружение этих уязвимостей подчеркивает важность надежной проверки ввода и безопасных практик обработки файлов в платформах безопасности. Хотя непосредственный риск ограничен аутентифицированными пользователями, потенциал компрометации системы подчеркивает критическую необходимость своевременного обновления средств безопасности в корпоративных инструментах.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-58161
- https://www.cve.org/CVERecord?id=CVE-2025-58162
- https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-ccc3-fvfx-mw3v
- https://github.com/MobSF/Mobile-Security-Framework-MobSF/commit/7f3bc086c028c1b50889cab8a15f7b59b7abdaf9
- https://github.com/MobSF/Mobile-Security-Framework-MobSF/releases/tag/v4.4.1
- https://github.com/MobSF/Mobile-Security-Framework-MobSF/security/advisories/GHSA-9gh8-9r95-3fc3