密码状态企业密码管理器中报告的严重安全漏洞

admin 2022年12月23日23:04:01评论26 views字数 1000阅读3分20秒阅读模式

密码状态企业密码管理器中报告的严重安全漏洞

Passwordstate 密码管理解决方案中披露了多个高严重性漏洞,未经身份验证的远程攻击者可利用这些漏洞获取用户的明文密码。

“成功利用允许未经身份验证的攻击者从实例中泄露密码,覆盖数据库中存储的所有密码,或在应用程序中提升其权限,”瑞士网络安全公司modzero AG在本周发布的一份报告中表示。“一些单独的漏洞可以被链接起来,以获得Passwordstate主机系统上的shell,并以明文形式转储所有存储的密码,只从一个有效的用户名开始。

Passwordstate由一家名为Click Studios的澳大利亚公司开发,拥有超过29,000名客户,并被超过370,000名IT专业人员使用。

其中一个缺陷还会影响Chrome网络浏览器的密码状态版本9.5.8.4。浏览器插件的最新版本是 9.6.1.2,于 2022 年 9 月 7 日发布。

modzero AG识别的漏洞列表如下 -

  • CVE-2022-3875(CVSS 分数:9.1) - 密码状态 API 的身份验证绕过

  • CVE-2022-3876(CVSS 分数:6.5)- 通过用户控制的密钥绕过访问控制

  • CVE-2022-3877(CVSS 分数:5.7) - 每个密码条目的 URL 字段中存在一个存储的跨站脚本 (XSS) 漏洞

  • 无 CVE(CVSS 分数:6.0) - 使用服务器端对称加密保护密码的机制不足

  • 无 CVE(CVSS 分数:5.3) - 使用硬编码凭据通过 API 列出审核的事件,例如密码请求和用户帐户更改

  • 无 CVE(CVSS 分数:4.3) - 对密码列表使用保护不足的凭据

利用这些漏洞可能允许知道有效用户名的攻击者以明文形式提取保存的密码,覆盖数据库中的密码,甚至提升权限以实现远程代码执行。

密码状态企业密码管理器中报告的严重安全漏洞

更重要的是,Chrome浏览器扩展程序中识别的不当授权流程(CVSS分数:3.7)可能会被武器化,将所有密码发送到参与者控制的域。

在 modzero AG 演示的攻击链中,威胁参与者可以为管理员帐户伪造 API 令牌,并利用 XSS 缺陷添加恶意密码条目以获取反向 shell 并获取实例中托管的密码。建议用户更新到 2022 年 11 月 7 日发布的 Passwordstate 9.6 - 内部版本 9653 或更高版本,以缓解潜在威胁。

2021 年 4 月,Passwordstate 成为供应链攻击的受害者,该攻击允许攻击者利用服务的更新机制在客户的机器上放置后门。


原文始发于微信公众号(黑猫安全):密码状态企业密码管理器中报告的严重安全漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月23日23:04:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   密码状态企业密码管理器中报告的严重安全漏洞http://cn-sec.com/archives/1479693.html

发表评论

匿名网友 填写信息