Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Falla de seguridad crítica informada en Passwordstate Enterprise Password Manager
  • Tecnología

Falla de seguridad crítica informada en Passwordstate Enterprise Password Manager

teknomers 22 de Aralık de 2022 (Last updated: 22 de Aralık de 2022) 3 minutes read
Falla de seguridad crítica informada en Passwordstate Enterprise Password Manager


22 de diciembre de 2022Ravie LakshmanánGestión de contraseñas

Se han revelado múltiples vulnerabilidades de alta gravedad en estado de la contraseña solución de administración de contraseñas que podría ser explotada por un adversario remoto no autenticado para obtener las contraseñas de texto sin formato de un usuario.

“La explotación exitosa permite que un atacante no autenticado extraiga contraseñas de una instancia, sobrescriba todas las contraseñas almacenadas dentro de la base de datos o eleve sus privilegios dentro de la aplicación”, firma suiza de ciberseguridad modzero AG dijo en un informe publicado esta semana.

“Algunas de las vulnerabilidades individuales se pueden encadenar para obtener un shell en el sistema host de Passwordstate y volcar todas las contraseñas almacenadas en texto claro, comenzando con nada más que un nombre de usuario válido”.

Passwordstate, desarrollado por una empresa australiana llamada Click Studios, tiene más de 29.000 clientes y es utilizado por más de 370.000 profesionales de TI.

Uno de los defectos también impacta Estado de contraseña versión 9.5.8.4 para el navegador web Chrome. La última versión del complemento del navegador es 9.6.1.2, que se lanzó el 7 de septiembre de 2022.

La seguridad cibernética

La lista de vulnerabilidades identificadas por modzero AG se encuentra a continuación:

  • CVE-2022-3875 (Puntuación CVSS: 9.1): una omisión de autenticación para la API de Passwordstate
  • CVE-2022-3876 (Puntuación CVSS: 6.5) – Una omisión de los controles de acceso a través de claves controladas por el usuario
  • CVE-2022-3877 (Puntuación CVSS: 5,7) – Una secuencia de comandos entre sitios almacenada (XSS) vulnerabilidad en el campo URL de cada entrada de contraseña
  • Sin CVE (puntaje CVSS: 6.0): un mecanismo insuficiente para proteger las contraseñas mediante el uso de cifrado simétrico del lado del servidor
  • Sin CVE (puntaje CVSS: 5.3): uso de credenciales codificadas para enumerar eventos auditados, como solicitudes de contraseña y cambios de cuenta de usuario a través de la API
  • Sin CVE (puntuación CVSS: 4,3): uso de credenciales insuficientemente protegidas para listas de contraseñas

Explotar las vulnerabilidades podría permitir que un atacante con conocimiento de un nombre de usuario válido extraiga contraseñas guardadas en texto no cifrado, sobrescriba las contraseñas en la base de datos e incluso eleve los privilegios para lograr la ejecución remota de código.

Además, un flujo de autorización inadecuado (puntuación CVSS: 3,7) identificado en la extensión del navegador Chrome podría convertirse en un arma para enviar todas las contraseñas a un dominio controlado por el actor.

En una cadena de ataque demostrada por modzero AG, un actor de amenazas podría falsificar un token API para una cuenta de administrador y explotar la falla XSS para agregar una entrada de contraseña maliciosa para obtener un shell inverso y obtener las contraseñas alojadas en la instancia.

Se recomienda a los usuarios actualizar a Estado de contraseña 9.6 – compilación 9653 lanzado el 7 de noviembre de 2022 o versiones posteriores para mitigar las amenazas potenciales.

Passwordstate, en abril de 2021, fue víctima de un ataque a la cadena de suministro que permitió a los atacantes aprovechar el mecanismo de actualización del servicio para colocar una puerta trasera en las máquinas de los clientes.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ‘Él no solo levanta la moral en Estados Unidos, sino también en su propio país’: el discurso de Zelensky en 5 citas simbólicas
Next: Mucho más glamuroso de lo que parece, es el peinado de fiesta perfecto

Related Stories

Orange ofrece un plan gratuito de 20 Go. Descubre todo
  • Tecnología

Orange ofrece un plan gratuito de 20 Go. Descubre todo lo que necesitas saber sobre esta oferta excepcional.

teknomers 3 de Temmuz de 2026
RTX 5060 Gaming OC a menos de 310€ en PcComponentes:
  • Tecnología

RTX 5060 Gaming OC a menos de 310€ en PcComponentes: la tarjeta que hace que el 1080p sea accesible

teknomers 3 de Temmuz de 2026
Même GitHub se moque de la fin des disques chez
  • Tecnología

Même GitHub se moque de la fin des disques chez PlayStation : comment obtenir gratuitement un CD de votre dépôt

teknomers 3 de Temmuz de 2026

You May Have Missed

  • General

Psicología de morderse los dedos: La psicología dice que las personas que muerden la piel alrededor de sus dedos no carecen de autocontrol, pueden estar respondiendo al sistema de recompensa de su cerebro.

teknomers 3 de Temmuz de 2026
  • General

Guerra en Ucrania: al menos 30 muertos en el ataque masivo de drones en Kiev

teknomers 3 de Temmuz de 2026
  • General

Por qué las personas procrastinan: La psicología dice que quienes repiten “Lo haré mañana” pueden estar posponiendo más que la tarea, pueden estar postponiendo emociones desagradables.

teknomers 3 de Temmuz de 2026
  • Deporte

Copa del Mundo 2026: BBC lanza la oferta ‘Stay Up or Catch Up’ para Inglaterra vs México

teknomers 3 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.