Revenir aux alertes

Bulletin d'alerte

Vulnérabilité dans TeleMessage TM SGNL

juillet 2025

Résumé

Le 1er juillet 2025, une vulnérabilité a été identifiée dans le produit TeleMessage TM SGNL.

 

Référencée sous CVE-2025-48927, cette faille concerne une mauvaise configuration par défaut du service Spring Boot Actuator, qui expose un point d’accès à un « heap dump » (mémoire temporaire contenant des données sensibles) via l’URL /heapdump. Cette exposition peut permettre à un attaquant distant d’accéder à des informations sensibles stockées en mémoire.

Solutions

Appliquer les correctifs ou mesures d’atténuation recommandés par le fournisseur.

La faille est activement exploitée : Oui 

Details techniques

Score CVSS : 5.3

Risques :  Exposition de données sensibles en mémoire

 

Systèmes affectés

Toutes les versions de TeleMessage TM SGNL jusqu’au 5 mai 2025 inclus

 

Documentation

  • Référence

https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/

 

  • Nist Details CVE

https://nvd.nist.gov/vuln/detail/CVE-2025-48927

 

  • CVE Details

https://www.cvedetails.com/cve/CVE-2025-48927/

 

  • Reference CVE

https://www.cve.org/CVERecord?id=CVE-2025-48927

 

  • CWE

https://www.cvedetails.com/cwe-details/1188/Initialization-of-a-Resource-with-an-Insecure-Default.html

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
RGPD*