MobSFの脆弱性 CVE-2025-58161/58162:パス・トラバーサル/任意ファイル書き込みの恐れ

MobSF Vulnerability Allows Attackers to Upload Malicious Files

2025/09/02 gbhackers — Mobile Security Framework (MobSF) のバージョン 4.4.0 に深刻なセキュリティ欠陥が発見された。これらの脆弱性はパス・トラバーサルおよび任意ファイル書き込みに関連するものであり、認証済み攻撃者に悪用されると、システム整合性の侵害/機密データの漏洩などにつながる可能性がある。この問題は MobSF バージョン 4.4.1 で修正されており、具体的には、パス検証の強化やファイル抽出ルーチンの安全化が施されている。

これらの脆弱性 CVE-2025-58161/CVE-2025-58162 は、MobSF のファイル処理ルーチンにおけるパス検証の不備に起因する。いずれも、プラットフォームのパス・トラバーサル保護の弱点を露呈するものであり、認証済みユーザーに対して、指定ディレクトリ外のファイルへのアクセス/変更を許すものとなる。

CVE-2025-58161: ディレクトリ・トラバーサルの脆弱性

1つ目の脆弱性は、GET /download/<filename> エンドポイントにおけるパス・トラバーサルの欠陥である。

MobSF はパス検証に “os.path.commonprefix” を使用しているが、それは適切なパス構成要素の解析と言えるものではなく、文字列ベースの比較に過ぎない。そのため、ダウンロード要求の処理時に、ファイル・パスが誤って検証されてしまう。この問題が、認証済みユーザーに悪用されると、意図したダウンロード・ディレクトリと同じプレフィックスを持つ、隣接ディレクトリのファイルへのアクセスが可能になってしまう。

たとえば、正当なダウンロード・ディレクトリが “/home/mobsf/.MobSF/downloads” の場合に、攻撃者は “/home/mobsf/.MobSF/downloads_bak” や “/home/mobsf/.MobSF/downloads.old” へのアクセスを可能にする。この問題により、絶対パスを取り込んだ悪意のリクエストが成立するため、相対パスだけに依存する既存の保護は回避されてしまう。

CVE-2025-58162: 任意のファイル書き込みの脆弱性

2つ目の脆弱性は、iOS における静的解析時に、悪意の “.a” アーカイブを介した任意のファイル書き込みを許すものである。

MobSF は静的リンク・ライブラリを処理する際に、アーカイブ内のファイル名を適切に検証せずに、埋め込まれたオブジェクトをファイル・システムに抽出してしまう。そのため、攻撃者は、絶対パス名を持つメンバーを取り込んだ “.a” ファイルを作成し、抽出時にファイル名が “/” または “C:/” で始まる場合に、 “Path(dst) / filename” 処理により保存先ディレクトリの制限を回避できる。

この脆弱性を悪用する認証済みユーザーは、”db.sqlite3″ およびコンフィグ・ファイルの上書きや、Web テンプレート改竄によるクロスサイト・スクリプティング (XSS) を可能にする。

影響と評価
  • CVE-2025-58161 の影響は、兄弟ディレクトリへの限定的アクセスに留まり、CVSS スコア 0.0 (Low) と評価されている。
  • CVE-2025-58162 はシステム侵害に直結するため、CVSS スコア 6.0 (Moderate) と評価されている。

CVE-2025-58162 の悪用に成功すると、以下の影響が生じる恐れがある。

  • データベース破損によるシステム障害
  • 分析結果の改ざん
  • 蓄積型クロスサイト・スクリプティング
  • 不適切なコンテナ環境における権限昇格

どちらの脆弱性とも、MobSF プラットフォームへの認証済みアクセスを必要とするため、それらを悪用できるのは、有効な認証情報を持つユーザーに限定される。

この脆弱性は研究者 noname1337h1 (Solar AppSec の Vasily Leshchenko) により発見され、責任を持って開示された。すでに MobSF 開発チームは、バージョン 4.4.1 をリリースし、これらの脆弱性を修正している。具体的には、以下の対策が実施された。

  • パス比較を文字列ではなく適切なパス・コンポーネント解析に変更
  • アーカイブ抽出ルーチンで絶対パスを拒否
  • ファイル操作前の包括的パス正規化を追加
CVE IDVulnerability TypeSeverityCVSS ScoreAffected Versions
CVE-2025-58161Path TraversalLow0.0/104.4.0
CVE-2025-58162Arbitrary File Write (AR-Slip)Moderate6.0/104.4.0

この事例が浮き彫りにするのは、セキュリティ分析プラットフォームにおける堅牢な入力検証と安全なファイル処理の重要性である。直接的なリスクは、認証済みユーザーによる悪用に限られるが、システム侵害の可能性を考慮すると、エンタープライズ環境では迅速なアップデートが強く推奨される。

これらの脆弱性の原因は、MobSF のファイル処理部分における入力検証の不備にあります。1つ目の問題では、パス検証において、文字列比較である “os.path.commonprefix” が使われることで、同じ接頭辞を持つ別ディレクトリへのアクセスが可能になってしまうという問題です。2つ目の脆弱性は、”.a” アーカイブ内のファイル名を適切に確認しない状態で抽出することで、絶対パスを取り込んだファイルを、それらが指定する任意の場所に書き込めてしまうという問題です。ご利用のチームは、ご注意ください。よろしければ、MobSF で検索も、ご参照ください。