关键信息 漏洞概述 漏洞名称: Web Server Resource Exhaustion via ZIP of Death Attack 发布者: ajinabraham 发布时间: 2天前 CVE ID: CVE-2025-46730 CVSS v3.0 分数: 7.7 严重性: 中等 (6.8/10) 影响版本 受影响版本: <=4.3.2 修复版本: 4.3.3 描述 漏洞类型: ZIP of Death 攻击 原因: MobSF 在上传和自动解压 ZIP 文件时,没有检查文件的总解压大小,导致攻击者可以通过特制的 ZIP 文件耗尽服务器资源。 攻击场景 示例: 攻击者可以创建一个压缩小但解压后体积巨大的 ZIP 文件,通过 MobSF 的上传功能上传该文件,导致服务器存储空间被迅速耗尽,引发服务中断。 影响 1. 完全的服务中断,影响组织内部门户和其他工具。 2. 如果组织使用基于 MobSF 核心的自定义云移动安全工具,攻击者可以利用此漏洞崩溃其服务器。 POC (概念验证) 屏幕录制: 链接 POC ZIP 炸弹文件: 链接 缓解措施 实施检查上传 ZIP 文件总解压大小的安全措施。如果估计的解压大小超过安全阈值(例如,100 MB),MobSF 应拒绝该文件并通知用户。