CVE-2025-48925
CVE-2025-48925
Em resumo
O aplicativo SGNL do TeleMessage calcula a senha em hash no seu celular antes de enviar para autenticação, mas o serviço aceita esse hash como credencial final em vez de validá-lo no servidor. Isso permite que um atacante que intercepte o hash consiga fazer login sem saber sua senha real.
Detalhe técnico
TeleMessage utiliza hash MD5 do lado do cliente para autenticação, aceitando o hash resultante como credencial sem verificação no servidor (CWE-836: uso de algoritmo criptográfico quebrado ou de risco). Um atacante pode interceptar o hash na rede ou extraí-lo de um cliente comprometido e reproduzi-lo para autenticação não autorizada, contornando a necessidade de descobrir a senha original.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The TeleMessage service through 2025-05-05 relies on the client side (e.g., the TM SGNL app) to do MD5 hashing, and then accepts the hash as the authentication credential.
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Produtos afetados
TeleMessage · serviceQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →