CVE-2025-48927

CVSS 5.3 MEDIUMEPSS 7.9%● KEVCWE-1188

En resumen

TeleMessage expone un endpoint de volcado de heap a través de Spring Boot Actuator, permitiendo que atacantes descarguen instantáneas de memoria que pueden contener contraseñas y tokens sensibles.

Detalle técnico

El endpoint /heapdump de Spring Boot Actuator es accesible públicamente sin autenticación, permitiendo que atacantes remotos obtengan volcados de heap que contienen información sensible de la memoria de la aplicación. Esta vulnerabilidad CWE-1188 afecta TeleMessage en versiones hasta 2025-05-05 y ha sido explotada en la práctica.

Resumen generado y traducido por IA a partir de la descripción oficial.

The TeleMessage service through 2025-05-05 configures Spring Boot Actuator with an exposed heap dump endpoint at a /heapdump URI, as exploited in the wild in May 2025.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Productos afectados

TeleMessage · service

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48927 https://www.wired.com/story/how-the-signal-knock-off-app-telemessage-got-hacked-in-20-minutes/