ID de CVE
CVE-2025-5344
Fecha de publicación
17 de julio de 2025
Proveedor
Azulejo
Producto
com.bluebird.kiosk.launcher
Versiones vulnerables
Todo antes de 1.1.2
Tipo de vulnerabilidad (CWE)
Exportación incorrecta de componentes de la aplicación Android (CWE-926)
Fuente de informes
Informe a Cert Polska
ID de CVE
CVE-2025-5345
Fecha de publicación
17 de julio de 2025
Proveedor
Azulejo
Producto
com.bluebird.filemanagers
Versiones vulnerables
1.4.4
Tipo de vulnerabilidad (CWE)
Exportación incorrecta de componentes de la aplicación Android (CWE-926)
Fuente de informes
Informe a Cert Polska
ID de CVE
CVE-2025-5346
Fecha de publicación
17 de julio de 2025
Proveedor
Azulejo
Producto
kr.co.bluebird.android.bbsettings
Versiones vulnerables
Todos antes de 1.3.3
Tipo de vulnerabilidad (CWE)
Exportación incorrecta de componentes de la aplicación Android (CWE-926)
Fuente de informes
Informe a Cert Polska
Descripción
CERT Polska ha recibido un informe sobre vulnerabilidades en las aplicaciones precargadas en teléfonos inteligentes Bluebird y participó en la coordinación de su divulgación.
La vulnerabilidad CVE-2025-5344: Los dispositivos Bluebird contienen una aplicación de quiosco precargada. Esta aplicación expone un proveedor de servicios no garantizado com.bluebird.kiosk.launcher.IpartnerKioskRemoteService. Un atacante local puede unirse al servicio de tipo Aidl para modificar la configuración global del dispositivo y la imagen de papel tapiz.
Este problema afecta a todas las versiones antes de 1.1.2.
La vulnerabilidad CVE-2025-5345: Los dispositivos Bluebird contienen una aplicación de administrador de archivos pregurado. Esta aplicación expone un proveedor de servicios no garantizado com.bluebird.system.koreanpost.IsdcardRemoteService. Un atacante local puede unirse al servicio de tipo AIDL para copiar y eliminar archivos arbitrarios del almacenamiento del dispositivo con permisos a nivel de sistema.
La versión 1.4.4 es vulnerable, el proveedor revertió versiones vulnerables a la versión anterior: 1.3.6
La vulnerabilidad CVE-2025-5346: Los dispositivos Bluebird contienen una aplicación de escáner de código de barras precargada. Esta aplicación expone un receptor de transmisión no garantizado kr.co.bluebird.android.bbsettings.BootReceiver. Un atacante local puede llamar al receptor para sobrescribir el archivo que contiene .json Palabra clave con archivo de configuración de código de barras predeterminado. Es posible sobrescribir el archivo en cualquier ubicación debido a la falta de protección contra el recorrido de la ruta en el nombre del archivo.
Este problema afecta a todas las versiones antes de 1.3.3.
Créditos
Agradecemos a Szymon Chadam por el informe de vulnerabilidad responsable.
Se puede encontrar más sobre el proceso de divulgación de vulnerabilidad coordinado en CERT Polska en https://cert.pl/en/cvd/.