Vulnerabilidad en TeleMessage (CVE-2025-47730)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-798
Credenciales embebidas en el software
Fecha de publicación:
08/05/2025
Última modificación:
08/05/2025
Descripción
El backend de archivado de TeleMessage hasta el 5 de mayo de 2025 acepta llamadas API (para solicitar un token de autenticación) de la aplicación TM SGNL (también conocida como Archive Signal) con las credenciales del archivo de registro para el usuario y enRR8UVVywXYbFkqU#QDPRkO para la contraseña.
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://arstechnica.com/security/2025/05/signal-clone-used-by-trump-official-stops-operations-after-report-it-was-hacked/
- https://github.com/micahflee/TM-SGNL-Android/blob/bd7ccbb8bc79193fc4c57cae7cc1051e6250fa89/app/src/tm/java/org/archiver/ArchiveConstants.kt#L45-L46
- https://news.ycombinator.com/item?id=43909220
- https://www.theregister.com/2025/05/05/telemessage_investigating/