CVE-2026-33545 in Mobile-Security-Framework-MobSF
Riassunto
di VulDB • 23/06/2026
MobSF è uno strumento di test della sicurezza delle applicazioni mobili utilizzato. Prima della versione 4.4.6, la funzione `read_sqlite()` di MobSF in `mobsf/MobSF/utils.py` (righe 542-566) utilizza la formattazione delle stringhe Python (`%`) per costruire query SQL con nomi di tabelle letti dalla tabella `sqlite_master` del database SQLite. Quando un analista della sicurezza utilizza MobSF per analizzare una applicazione mobile malevola contenente un database SQLite manipolato ad hoc, i nomi di tabelle controllati dall'attaccante vengono interpolati direttamente nelle query SQL senza parametrizzazione o escape. Ciò consente a un attaccante di causare un denial of service e ottenere una SQL injection. La versione 4.4.6 corregge il problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.