Vulnerabilidad en TeleMessage (CVE-2025-48929)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/05/2025

Última modificación:

01/07/2025

Descripción

El servicio TeleMessage, hasta el 5 de mayo de 2025, implementa la autenticación a través de una credencial de larga duración (por ejemplo, no un token con un tiempo de vencimiento corto) que se puede reutilizar en una fecha posterior si un adversario la descubre, como se explotó en la naturaleza en mayo de 2025.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

4.00

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/