Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Falla de seguridad crítica informada en Passwordstate Enterprise Password Manager
  • Tecnología

Falla de seguridad crítica informada en Passwordstate Enterprise Password Manager

teknomers 22 de Aralık de 2022 (Last updated: 22 de Aralık de 2022) 3 minutes read
Falla de seguridad crítica informada en Passwordstate Enterprise Password Manager


22 de diciembre de 2022Ravie LakshmanánGestión de contraseñas

Se han revelado múltiples vulnerabilidades de alta gravedad en estado de la contraseña solución de administración de contraseñas que podría ser explotada por un adversario remoto no autenticado para obtener las contraseñas de texto sin formato de un usuario.

“La explotación exitosa permite que un atacante no autenticado extraiga contraseñas de una instancia, sobrescriba todas las contraseñas almacenadas dentro de la base de datos o eleve sus privilegios dentro de la aplicación”, firma suiza de ciberseguridad modzero AG dijo en un informe publicado esta semana.

“Algunas de las vulnerabilidades individuales se pueden encadenar para obtener un shell en el sistema host de Passwordstate y volcar todas las contraseñas almacenadas en texto claro, comenzando con nada más que un nombre de usuario válido”.

Passwordstate, desarrollado por una empresa australiana llamada Click Studios, tiene más de 29.000 clientes y es utilizado por más de 370.000 profesionales de TI.

Uno de los defectos también impacta Estado de contraseña versión 9.5.8.4 para el navegador web Chrome. La última versión del complemento del navegador es 9.6.1.2, que se lanzó el 7 de septiembre de 2022.

La seguridad cibernética

La lista de vulnerabilidades identificadas por modzero AG se encuentra a continuación:

  • CVE-2022-3875 (Puntuación CVSS: 9.1): una omisión de autenticación para la API de Passwordstate
  • CVE-2022-3876 (Puntuación CVSS: 6.5) – Una omisión de los controles de acceso a través de claves controladas por el usuario
  • CVE-2022-3877 (Puntuación CVSS: 5,7) – Una secuencia de comandos entre sitios almacenada (XSS) vulnerabilidad en el campo URL de cada entrada de contraseña
  • Sin CVE (puntaje CVSS: 6.0): un mecanismo insuficiente para proteger las contraseñas mediante el uso de cifrado simétrico del lado del servidor
  • Sin CVE (puntaje CVSS: 5.3): uso de credenciales codificadas para enumerar eventos auditados, como solicitudes de contraseña y cambios de cuenta de usuario a través de la API
  • Sin CVE (puntuación CVSS: 4,3): uso de credenciales insuficientemente protegidas para listas de contraseñas

Explotar las vulnerabilidades podría permitir que un atacante con conocimiento de un nombre de usuario válido extraiga contraseñas guardadas en texto no cifrado, sobrescriba las contraseñas en la base de datos e incluso eleve los privilegios para lograr la ejecución remota de código.

Además, un flujo de autorización inadecuado (puntuación CVSS: 3,7) identificado en la extensión del navegador Chrome podría convertirse en un arma para enviar todas las contraseñas a un dominio controlado por el actor.

En una cadena de ataque demostrada por modzero AG, un actor de amenazas podría falsificar un token API para una cuenta de administrador y explotar la falla XSS para agregar una entrada de contraseña maliciosa para obtener un shell inverso y obtener las contraseñas alojadas en la instancia.

Se recomienda a los usuarios actualizar a Estado de contraseña 9.6 – compilación 9653 lanzado el 7 de noviembre de 2022 o versiones posteriores para mitigar las amenazas potenciales.

Passwordstate, en abril de 2021, fue víctima de un ataque a la cadena de suministro que permitió a los atacantes aprovechar el mecanismo de actualización del servicio para colocar una puerta trasera en las máquinas de los clientes.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ‘Él no solo levanta la moral en Estados Unidos, sino también en su propio país’: el discurso de Zelensky en 5 citas simbólicas
Next: Mucho más glamuroso de lo que parece, es el peinado de fiesta perfecto

Related Stories

Una vez más, el departamento de Seguridad Nacional de Estados
  • Tecnología

Una vez más, el departamento de Seguridad Nacional de Estados Unidos ha sido hackeado

teknomers 3 de Temmuz de 2026
Orange ofrece un plan gratuito de 20 Go. Descubre todo
  • Tecnología

Orange ofrece un plan gratuito de 20 Go. Descubre todo lo que necesitas saber sobre esta oferta excepcional.

teknomers 3 de Temmuz de 2026
RTX 5060 Gaming OC a menos de 310€ en PcComponentes:
  • Tecnología

RTX 5060 Gaming OC a menos de 310€ en PcComponentes: la tarjeta que hace que el 1080p sea accesible

teknomers 3 de Temmuz de 2026

You May Have Missed

  • General

¿Quiénes son Angela Nikolau e Ivan Beerkus, la pareja de influencers que escaló el Empire State Building para una propuesta de matrimonio?

teknomers 3 de Temmuz de 2026
  • General

¿Quién fue el verdadero Prez?: Escándalo de Autopen estalla en la audiencia sobre el ‘encubrimiento de Biden’; senadores estallan – Teknomers

teknomers 3 de Temmuz de 2026
  • Deporte

Gran Premio de Gran Bretaña: Lewis Hamilton el más rápido en la única sesión de práctica en Silverstone

teknomers 3 de Temmuz de 2026
  • Finanzas

«Mon téléphone sonne non-stop»: las solicitudes de aire acondicionado explotan por temor a otros episodios de canícula

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.