Vulnerabilidad en AfterShip Package Tracker (CVE-2025-9134)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/08/2025
Última modificación:
12/09/2025
Descripción
Se ha detectado una vulnerabilidad de seguridad en la aplicación AfterShip Package Tracker (hasta la versión 5.24.1) para Android. El elemento afectado es una función desconocida del archivo AndroidManifest.xml del componente com.aftership.AfterShip. Esta manipulación provoca la exportación incorrecta de componentes de la aplicación Android. El ataque debe ejecutarse localmente. Se ha hecho público el exploit y puede que sea utilizado. Se contactó al proveedor con antelación para informarle sobre esta divulgación, quien respondió: «Tras revisar su informe, hemos confirmado que esta vulnerabilidad existe y estamos trabajando activamente para solucionarla».
Impacto
Puntuación base 4.0
4.80
Gravedad 4.0
MEDIA
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:aftership:aftership_package_tracker:*:*:*:*:*:android:*:* | 5.24.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/KMov-g/androidapps/blob/main/com.aftership.AfterShip.md
- https://github.com/KMov-g/androidapps/blob/main/com.aftership.AfterShip.md#steps-to-reproduce
- https://vuldb.com/?ctiid_320514=
- https://vuldb.com/?id_320514=
- https://vuldb.com/?submit_615253=
- https://github.com/KMov-g/androidapps/blob/main/com.aftership.AfterShip.md
- https://github.com/KMov-g/androidapps/blob/main/com.aftership.AfterShip.md#steps-to-reproduce