CVE-2026-35394 CVSS 8.3 高危

CVE-2026-35394 Mobile Next任意Intent执行漏洞

披露日期: 2026-04-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-35394

漏洞类型

任意Intent执行

CVSS评分

8.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Mobile Next (mobile-mcp)

漏洞概述

Mobile Next是一个用于移动开发和自动化的MCP服务器。在0.0.50版本之前，其mobile_open_url工具由于缺乏URL方案验证，直接将用户提供的URL传递给Android Intent系统。攻击者可利用此漏洞执行任意Android Intent，包括拨打USSD代码、电话、发送短信及访问内容提供商，严重影响设备完整性与可用性。

技术细节

该漏洞源于mobile-mcp服务器中mobile_open_url工具的输入验证缺失。当工具接收到用户输入的URL时，未对其协议头进行过滤，直接传递给Android底层的Intent解析机制。由于Android Intent支持多种Scheme（如tel、sms、intent等），攻击者可构造恶意URL。例如，使用'tel:'或'smsto:'协议可触发拨号或短信发送，甚至通过Intent URI格式启动任意Activity或Service。这种设计缺陷使得攻击者能够利用MCP服务器作为跳板，在目标Android设备上执行未授权的敏感操作，绕过正常的交互确认机制。

攻击链分析

STEP 1

步骤1

攻击者发现目标使用的是存在漏洞的Mobile Next (mobile-mcp)版本（< 0.0.50）。

STEP 2

步骤2

攻击者构造包含恶意的Android Intent Scheme的URL（如tel:、smsto:或自定义Intent URI）。

STEP 3

步骤3

攻击者向mobile-mcp服务器的mobile_open_url工具接口发送请求，并将恶意URL作为参数传入。

STEP 4

步骤4

服务器端未对URL Scheme进行校验，直接调用Android系统解析该URL。

STEP 5

步骤5

Android系统执行对应的Intent操作，如拨打电话、发送短信或启动恶意组件，完成攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-35394
# Demonstrating how to trigger an arbitrary Intent via mobile_open_url

def exploit_poc():
    # The vulnerable endpoint expects a URL parameter
    # By using an Intent scheme, we can bypass scheme validation
    
    # Example 1: Trigger a phone call
    malicious_url = "tel:1234567890"
    
    # Example 2: Trigger a USSD code
    # malicious_url = "tel:*123#"
    
    # Example 3: Complex Intent to launch a specific component
    # malicious_url = "intent:#Intent;component=com.android.settings/.Settings;end"
    
    print(f"[+] Sending payload to vulnerable mobile_open_url tool: {malicious_url}")
    
    # Simulating the request payload to the MCP server
    payload = {
        "url": malicious_url
    }
    
    # In a real scenario, send this payload to the mobile-mcp server API
    # The server will execute: Intent.parseUri(malicious_url, ...) -> startActivity(intent)
    return payload

if __name__ == "__main__":
    exploit_poc()

影响范围

Mobile Next (mobile-mcp) < 0.0.50

防御指南

临时缓解措施

在无法立即升级的情况下，建议通过访问控制列表（ACL）严格限制对mobile-mcp服务器接口的调用权限，确保仅受信任的客户端能够访问。同时，可在主机层面监控异常的Intent调用行为。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表