Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Algoritmo criptográfico no recomendado en Request Tracker de Best Practical Solutions

Fecha de publicación 05/05/2025
Identificador
INCIBE-2025-0217
Importancia
2 - Baja
Recursos Afectados
  • Request Tracker, versiones anteriores a la 5.0.8.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad baja que afecta a Request Tracker de Best Practical Solutions, un sistema de gestión de tickets. La vulnerabilidad ha sido descubierta por Ángel González Berdasco.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y tipo de vulnerabilidad CWE:

  • CVE-2025-2545: CVSS v4.0: 2.3 | CVSS AV:N/AC:H/AT:N/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-327
Solución

La vulnerabilidad ha sido solucionada por el equipo de Best Practical Solutions, LLC en la versión 5.0.8.

Detalle

CVE-2025-2545: vulnerabilidad en Request Tracker v5.0.7 de Best Practical Solutions, LLC, donde se utiliza el algoritmo criptográfico Triple DES (3DES) dentro del código SMIME para cifrar correos S/MIME. Triple DES se considera obsoleto e inseguro debido a su susceptibilidad a ataques de cumpleaños (birthday attack), que podrían comprometer la confidencialidad de los mensajes cifrados.