CISA提醒注意已遭利用的两个 TeleMessage 漏洞

发布于2025年7月4日2025年7月22日作者:cve-20

原文链接: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247523450&idx=2&sn=6fb767fa5ebe3a22a7b0a961be3c6df2

CISA提醒注意已遭利用的两个 TeleMessage 漏洞

Ionut Arghire 代码卫士 2025-07-04 10:24

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

CISA 提醒注意位于消息应用 TeleMessage TM SGNL 中的两个漏洞，督促组织机构立即修复。

TeleMessage TM SGNL 应用可帮助用户归档通过 WhatsApp、Telegram和 Signal发送的消息，在特朗普政府前国家安全顾问 Mike Waltz 被看到在手机上使用后变得流行起来。之后，几十个政府员工被指也在使用该应用。

不久之后，位于美国俄勒冈的通信公司 Smarsh（以色列公司 TeleMessage 的所有方）因为黑客演示了该应用缺乏加密而可被盗取聊天日志后暂停了所有 TeleMessage 服务。该漏洞是CVE-2025-47729（CVSS评分4.9），在5月中旬被CISA列入必修清单 KEV。

当前，CISA表示 TeleMessage 服务中的另外两个漏洞CVE-2025-48927和CVE-2025-48928已遭黑客利用。NIST 发布安全公告提到，第一个漏洞存在的原因是监控工具 Spring Boot Actuator 被配置为一个被暴露的堆转储端点。NIST 解释称，第二个漏洞是因为TeleMessage 服务“基于一款JSP 应用，而其中堆内容几乎等同于一个‘核心转储’，之前通过 HTTP 发送的密码将被包含在该转储中。”

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

CISA 提醒注意 Microsens 中的多个严重漏洞

CISA和FBI联合发布关于减少现代软件开发中内存安全漏洞的指南

CISA 将TP-Link 路由器高危漏洞纳入KEV

CISA将Erlang SSH 和 Roundcube 加入KEV清单

CISA提醒注意已遭利用的 Commvault 0day漏洞

原文链接

https://www.securityweek.com/cisa-warns-of-two-exploited-telemessage-vulnerabilities/

题图：
Pixabay Licen
se

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。