CVE-2026-33545 in Mobile-Security-Framework-MobSF
요약
\~에 의해 VulDB • 2026. 06. 12.
MobSF는 모바일 애플리케이션 보안 테스트에 사용되는 도구입니다. 버전 4.4.6 이전의 MobSF에서 `mobsf/MobSF/utils.py`(라인 542-566) 내의 `read_sqlite()` 함수는 SQLite 데이터베이스의 `sqlite_master` 테이블에서 읽은 테이블 이름을 사용하여 SQL 쿼리를 구성할 때 Python 문자열 포맷팅(`%`)을 사용합니다. 보안 분석자가 조작된 SQLite 데이터베이스를 포함하는 악성 모바일 애플리케이션을 MobSF로 분석할 경우, 공격자가 제어한 테이블 이름이 파라미터화나 이스케이핑 없이 SQL 쿼리에 직접 삽입됩니다. 이로 인해 공격자는 서비스 거부(Denial of Service)를 유발하고 SQL 인젝션(SQL Injection)을 달성할 수 있습니다. 버전 4.4.6에서 해당 문제가 패치되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.