PT-2025-34811 · Telpo · Telpo Mdm
Raiji1N
·
Publicado
2025-02-03
·
Atualizado
2025-08-27
·
CVE-2025-55443
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Telpo MDM versões 1.4.6 a 1.4.9
Descrição:
A plataforma Android Telpo MDM armazena credenciais sensíveis de administrador e detalhes de conexão do servidor MQTT (IP/porta) em texto plano dentro de arquivos de log no armazenamento externo do dispositivo. Isso permite que atacantes com acesso a esses logs se autentiquem na plataforma web do MDM e executem operações administrativas, incluindo desligamento do dispositivo, reset de fábrica e instalação de software. Além disso, os atacantes podem se conectar ao servidor MQTT para interceptar ou publicar dados do dispositivo.
Recomendações:
Atualize para uma versão mais recente do Telpo MDM que corrija este problema.
Correção
CSRF
Information Disclosure
Insertion into Log File
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Telpo Mdm