Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Bluebird (CVE-2025-5346)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
17/07/2025
Última modificación:
17/07/2025

Descripción

Los dispositivos Bluebird incluyen una aplicación de lectura de códigos de barras preinstalada. Esta aplicación expone un receptor de difusión no seguro, "kr.co.bluebird.android.bbsettings.BootReceiver". Un atacante local puede llamar al receptor para sobrescribir el archivo que contiene la palabra clave ".json" con el archivo de configuración de código de barras predeterminado. Es posible sobrescribir el archivo en cualquier ubicación debido a la falta de protección contra el path traversal en el nombre del archivo. Este problema afecta a todas las versiones anteriores a la 1.3.3.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.10 MEDIA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Bajo
Availability (SA): Ninguno

Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA

Referencias a soluciones, herramientas e información