Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en traQ (CVE-2025-57813)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-532 Exposición de información a través de archivos de log
Fecha de publicación:
26/08/2025
Última modificación:
26/08/2025

Descripción

traQ es una aplicación de mensajería desarrollada para Digital Creators Club traP. Antes de la versión 3.25.0, existía una vulnerabilidad que permitía registrar información confidencial, como tokens OAuth, en archivos de registro cuando se producía un error durante la ejecución de una consulta SQL. Un atacante podría generar intencionalmente un error SQL mediante métodos como sobrecargar la base de datos. Esto podría permitir que un atacante con autorización para ver los archivos de registro adquiera ilícitamente la información confidencial registrada. Esta vulnerabilidad se ha corregido en la versión 3.25.0. Si no es posible actualizar, una solución temporal consiste en revisar los permisos de acceso a los registros de errores SQL y limitar estrictamente el acceso para evitar que usuarios no autorizados los vean.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información