PT-2025-26780 · Telegram · Hikka
Hikariatama
·
Publicado
2025-06-24
·
Atualizado
2025-12-08
·
CVE-2025-52572
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas:
Todas as versões do Hikka
Descrição:
O problema afeta todos os usuários em todas as versões do Hikka, um userbot do Telegram. Dois cenários são possíveis:
- Se a interface web não possuir uma sessão autenticada, um atacante pode usar sua própria conta do Telegram para obter execução remota de código (RCE) no servidor, autorizando-se na interface web exposta.
- Se a interface web possuir uma sessão autenticada, devido a avisos insuficientes na mensagem de autenticação, os usuários foram induzidos a clicar em "Allow" no menu "Allow web application ops", concedendo a um atacante acesso não apenas ao RCE, mas também às contas do Telegram dos proprietários. Sabe-se que o cenário número 2 foi explorado na natureza.
Recomendações:
Use a flag
--no-web e não inicie o userbot sem ela.
Após autorizar na interface web, feche a porta no servidor e/ou inicie o userbot com a flag --no-web.
Não clique em "Allow" no seu bot auxiliar, a menos que seja uma ação sua explícita que necessite de permissão.Exploit
Correção
RCE
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hikka