CVE-2026-33545 in Mobile-Security-Framework-MobSF
Tóm tắt
Bởi VulDB • 12/06/2026
MobSF là một công cụ kiểm tra bảo mật ứng dụng di động được sử dụng rộng rãi. Trước phiên bản 4.4.6, hàm `read_sqlite()` của MobSF trong tệp `mobsf/MobSF/utils.py` (dòng 542-566) sử dụng định dạng chuỗi Python (`%`) để xây dựng các truy vấn SQL với tên bảng được đọc từ bảng `sqlite_master` của cơ sở dữ liệu SQLite. Khi một nhà phân tích bảo mật sử dụng MobSF để phân tích một ứng dụng di động độc hại chứa cơ sở dữ liệu SQLite đã được tạo ra đặc biệt, các tên bảng do kẻ tấn công kiểm soát sẽ được nội suy trực tiếp vào các truy vấn SQL mà không có biện pháp tham số hóa hoặc thoát ký tự. Điều này cho phép kẻ tấn công gây ra tình trạng từ chối dịch vụ (DoS) và thực hiện tiêm nhập SQL (SQL Injection). Phiên bản 4.4.6 đã vá lỗi bảo mật này.
If you want to get best quality of vulnerability data, you may have to visit VulDB.