PT-2024-25426 · Passbolt · Passbolt Browser Extension
Ruben Meeuwissen
·
Publicado
2024-04-26
·
Atualizado
2025-06-18
·
CVE-2024-33669
CVSS v3.1
6.8
Média
| Vetor | AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões da extensão do navegador Passbolt anteriores à 4.6.2
Descrição
Uma falha na extensão do navegador Passbolt resulta em um vazamento de informações. Quando um usuário digita uma senha, várias solicitações são enviadas ao HaveIBeenPwned, permitindo que um invasor capaz de observar essas consultas HTTPS à API Pwned Password realize mais facilmente ataques de força bruta contra senhas digitadas manualmente.
Recomendações
Para versões anteriores à 4.6.2, atualize para a versão 4.6.2 ou posterior para resolver o problema. Como solução temporária, considere desativar o recurso de verificação de senha que envia solicitações ao HaveIBeenPwned até que um patch seja aplicado. Restrinja o acesso a informações confidenciais e utilize medidas de segurança adicionais para se proteger contra ataques de força bruta.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Passbolt Browser Extension