Новости компьютерной безопасности:

  Latest News

MobSF Vulnerability Let Attackers Inject Malicious Scripts

С сайта: Vulnerability(cybersecuritynews.com)

MobSF Vulnerability Let Attackers Inject Malicious Scripts

Author: Tushar Subhra Dutta

A critical security flaw has been discovered in Mobile Security Framework (MobSF), a popular pen-testing and malware analysis tool, potentially exposing users to significant risks.

The vulnerability, identified as CVE-2024-53999, allows attackers to execute malicious scripts through a Stored Cross-Site Scripting (XSS) attack in the application’s “Diff or Compare” functionality.

The issue stems from MobSF’s file upload mechanism, which failed to properly sanitize filenames containing special characters such as , /, and “.

This oversight enabled malicious actors to upload files with script-injected names, which would then be stored on the server and executed when other users accessed the “Diff or Compare” feature.

Security researchers demonstrated the vulnerability by uploading a zip file with the filename “cyber security newstest.zip” using an intercepting proxy tool.

cyber security newsUploading a zip file (Source – GitHub)
When other users attempted to compare this file using the “Diff or Compare” functionality, the embedded JavaScript code was executed in their web browsers.

Flaw Profile
The potential impact of this vulnerability is severe. Attackers could exploit this flaw to:-

  1. Steal sensitive information, including session tokens and cookies
  2. Perform unauthorized actions on behalf of victims
  3. Deface the application interface
  4. Potentially chain with other vulnerabilities for further exploitation

The vulnerability has been assigned a CVSS base score of 8.1, indicating a high severity level. The vulnerability affects all versions of MobSF up to and including 4.2.8.

Users are strongly advised to update to version 4.2.9, which contains a patch for this security issue.

cyber security newsFlaw Profile (Source – GitHub)
For organizations unable to update immediately, security experts recommend implementing temporary mitigation measures:-

  • Restricting access to the “Diff or Compare” functionality
  • Implementing strict input validation for file uploads, especially for filename parameters
  • Using Content Security Policy (CSP) headers to mitigate the impact of XSS attacks
  • Regularly auditing and sanitizing existing file names in the system
  • Educating users about the risks of uploading or interacting with untrusted files

Besides this, there is currently no evidence of public proof-of-concept exploits or active exploitation in the wild, the potential for abuse remains significant.

This incident highlights the need for regular security audits and prompt patching of discovered vulnerabilities to maintain a robust security posture.



#Cyber_Security_News #Vulnerability #cyber_security_news #vulnerability

Оригинальная версия на сайте: MobSF Vulnerability Let Attackers Inject Malicious Scripts
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.