Vulnerabilidad en Hikka (CVE-2025-52572)

Hikka, un bot de usuario de Telegram, presenta una vulnerabilidad que afecta a todos los usuarios en todas las versiones de Hikka. Existen dos escenarios posibles: 1. La interfaz web no tiene una sesión autenticada: el atacante puede usar su propia cuenta de Telegram para acceder al servidor mediante la autorización en la interfaz web inactiva. 2. La interfaz web sí tiene una sesión autenticada: debido a una advertencia insuficiente en el mensaje de autenticación, los usuarios se vieron tentados a hacer clic en "Permitir" en el menú "Permitir operaciones de aplicaciones web". Esto permitió al atacante acceder no solo a la ejecución remota de código, sino también a las cuentas de Telegram de los propietarios. Se sabe que el escenario número 2 ha sido explotado in situ. No existen parches conocidos, pero existen algunas soluciones alternativas. Use el indicador `--no-web` y no inicie el bot de usuario sin él; después de autorizar en la interfaz web, cierre el puerto en el servidor o inicie el bot de usuario con el indicador `--no-web`; y no haga clic en "Permitir" en su bot auxiliar a menos que sea su acción explícita la que deba permitirse.