Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Passwordstate Enterprise Password Manager, que permitirían a un atacante no autenticado realizar una omisión de autenticación en la API de Passwordstate, también permitiría llevar a cabo ataques Cross-site scripting (XSS), entre otros.
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 2 (dos) de severidad “Media”. Las mismas se detallan a continuación:
- CVE-2022-3875, de severidad “Critica” y con puntuación de 9.1. Esta vulnerabilidad se debe a una falla de control en el código del componente de la API. Esto permitiría a un atacante remoto realizar omisión de autenticación en el sistema afectado.
- CVE-2022-3876, de severidad “Media” y con puntuación de 6.5. Esta vulnerabilidad se debe a una falla de control en el archivo /api/browserextension/UpdatePassword/ del componente de la API. Esto permitiría a un atacante remoto realizar omisión de autenticación en el sistema afectado.
- CVE-2022-3877, de severidad “Media” y con puntuación de 5.7. Esta vulnerabilidad se debe a una falta de control de datos ingresados en el componente URL Field Handler de la API. Esto permitiría a un atacante remoto realizar ataques Cross-site scripting (XSS) en el sistema afectado.
Las versiones afectadas son:
- Passwordstate 9.5 – Build 9583 y anteriores.
- Passwordstate Browser Extension Chrome 9.5.8.4.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces:
Referencias:
- MZ-22-03_Passwordstate_Security_Disclosure_Report-v1.0.pdf (modzero.com)
- https://www.securityweek.com/critical-vulnerabilities-found-passwordstate-enterprise-password-manager
- https://nvd.nist.gov/vuln/detail/CVE-2022-3875
- https://nvd.nist.gov/vuln/detail/CVE-2022-3876
- https://nvd.nist.gov/vuln/detail/CVE-2022-3877
- https://www.modzero.com/modlog/archives/2022/12/19/better_make_sure_your_password_manager_is_secure/index.html
- https://www.clickstudios.com.au/passwordstate-changelog.aspx
- https://www.clickstudios.com.au/download-password-manager.aspx