Er is een kwetsbaarheid ontdekt in de Android-applicaties SmartRide, cleVVVer en BusBahnBim van Verkehrsauskunft Österreich. De kwetsbaarheid, aangeduid als CVE-2025-9135, betreft de onjuiste export van Android-onderdelen vanuit het bestand AndroidManifest.xml. Dit probleem kan misbruikt worden door een lokale aanvaller.
Hoewel de aanval lokaal moet worden uitgevoerd, is het exploit publiekelijk beschikbaar. Een upgrade naar versie 12.1.2(259) verhelpt het probleem en wordt sterk aanbevolen.
Overzicht
De kwetsbaarheid bevindt zich in versies tot 12.1.1(258). Het manipuleren van het bestand AndroidManifest.xml leidt tot een onveilige export van de Android-applicatiecomponenten.
Aanbevelingen
- Upgrade de applicaties SmartRide, cleVVVer en BusBahnBim naar versie 12.1.2(259) om deze kwetsbaarheid te verhelpen.
Bronnen
- VDB-320515 | Verkehrsauskunft Österreich AndroidManifest.xml
- VDB-320515 | CTI Indicators
- Submit #615276 | SmartRide Task Hijacking
- Submit #615278 | cleVVVer Task Hijacking
- Submit #628235 | BusBahnBim Hijacking
- Gerelateerde informatie over kwetsbaarheid
Vraag en Antwoord
Wat is CVE-2025-9135?
CVE-2025-9135 is een ontdekte kwetsbaarheid in de Android-applicaties van Verkehrsauskunft Österreich waarbij onderdelen onjuist worden geëxporteerd vanuit het AndroidManifest.xml-bestand.
Welke systemen zijn kwetsbaar voor CVE-2025-9135?
De versies 12.1.1(258) van de applicaties SmartRide, cleVVVer en BusBahnBim zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, het upgraden naar versie 12.1.2(259) lost het probleem op.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan applicatiecomponenten misbruiken binnen de lokale infrastructuur, wat kan leiden tot ongeautoriseerde acties.
