关键漏洞信息 漏洞详情 CVE-2025-5344 - 发布日期: 2025年7月17日 - 厂商: Bluebird - 产品: com.bluebird.kiosk.launcher - 易受攻击版本: 所有低于1.1.2的版本 - 漏洞类型 (CWE): Android应用程序组件的不当导出 (CWE-926) - 报告来源: 报告给CERT Polska CVE-2025-5345 - 发布日期: 2025年7月17日 - 厂商: Bluebird - 产品: com.bluebird.filemanagers - 易受攻击版本: 1.4.4 - 漏洞类型 (CWE): Android应用程序组件的不当导出 (CWE-926) - 报告来源: 报告给CERT Polska CVE-2025-5346 - 发布日期: 2025年7月17日 - 厂商: Bluebird - 产品: kr.co.bluebird.android.bbsettings - 易受攻击版本: 所有低于1.3.3的版本 - 漏洞类型 (CWE): Android应用程序组件的不当导出 (CWE-926) - 报告来源: 报告给CERT Polska 描述 CERT Polska收到了关于Bluebird智能手机预装应用程序中存在漏洞的报告,并参与了披露协调。 CVE-2025-5344: Bluebird设备包含一个预装的自助服务应用,该应用暴露了一个不安全的服务提供者。本地攻击者可以绑定到AIDL类型的service来修改设备的全局设置和壁纸图片。 CVE-2025-5345: Bluebird设备包含一个预装的文件管理器应用,该应用暴露了一个不安全的服务提供者。本地攻击者可以绑定到AIDL类型的service来复制和删除设备存储中的任意文件,具有系统级权限。 CVE-2025-5346: Bluebird设备包含一个预装的条形码扫描应用,该应用暴露了一个不安全的广播接收器。本地攻击者可以调用接收器来覆盖包含.json关键字的默认条形码配置文件。由于缺乏对路径遍历的保护,可以在任何位置覆盖文件。 致谢 感谢Szymon Chadam负责的漏洞报告。 联系方式 更多关于CERT Polska协调漏洞披露流程的信息可以在https://cert.pl/en/cvd/找到。