PT-2022-7125 · Keepass+2 · Keepass+3
Chris
·
Publicado
2022-12-09
·
Atualizado
2025-01-30
·
CVE-2023-24055
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões 2.53 e anteriores do KeePass
KeePass até a versão 2.53 (em uma instalação padrão)
Descrição
O problema está relacionado ao armazenamento de informações críticas de forma não criptografada. Um invasor com acesso de gravação ao arquivo de configuração XML pode obter senhas em texto simples adicionando um gatilho de exportação. A posição do fornecedor é que o banco de dados de senhas não se destina a ser seguro contra um invasor que tenha esse nível de acesso ao PC local. Pesquisadores argumentam que se trata de uma falha de segurança, já que nenhuma ação é necessária por parte do proprietário do KeePass para exportar senhas, tornando isso impossível mesmo em situações em que um invasor obtenha acesso ao dispositivo.
Recomendações
Para as versões 2.53 e anteriores do KeePass, considere desativar o recurso de gatilho de exportação para evitar exploração até que um patch esteja disponível.
Para o KeePass até a versão 2.53 (em uma instalação padrão), restrinja o acesso ao arquivo de configuração XML para minimizar o risco de exploração.
Como solução temporária, considere fazer o downgrade do executável para uma versão que não contenha o recurso de acionamento de exportação vulnerável, mas esteja ciente de que isso pode introduzir outros riscos de segurança.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Cleartext Storage of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Keepass
Keepass2
Red Os