Vulnerabilidad en Trilium Notes (CVE-2025-53544)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/08/2025
Última modificación:
05/08/2025
Descripción
Trilium Notes es una aplicación de código abierto, multiplataforma y jerárquica para tomar notas, enfocada en la creación de grandes bases de conocimiento personales. En versiones anteriores a la 0.97.0, una omisión de la protección contra ataques de fuerza bruta en el endpoint de recuperación de la semilla de sincronización inicial permite a atacantes no autenticados adivinar la contraseña de inicio de sesión sin activar la limitación de velocidad. Trilium es una aplicación monousuario que no requiere nombre de usuario, y la omisión de la protección contra ataques de fuerza bruta facilita considerablemente su explotación. Varias funciones de Trilium (como la autenticación multifactor, compartir notas y el gestor de solicitudes personalizado) indican que Trilium puede estar expuesto a internet. Esto se ha corregido en la versión 0.97.0.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/TriliumNext/Trilium/pull/6243/commits/04c8f8a1234e8c9f4a87da187180375227b21223
- https://github.com/TriliumNext/Trilium/releases/tag/v0.97.0
- https://github.com/TriliumNext/Trilium/security/advisories/GHSA-hw5p-ff75-327r
- https://github.com/TriliumNext/Trilium/security/advisories/GHSA-hw5p-ff75-327r