{"id":538695,"date":"2022-12-22T19:49:30","date_gmt":"2022-12-22T19:49:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/falla-de-seguridad-critica-informada-en-passwordstate-enterprise-password-manager\/"},"modified":"2022-12-22T19:49:31","modified_gmt":"2022-12-22T19:49:31","slug":"falla-de-seguridad-critica-informada-en-passwordstate-enterprise-password-manager","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/falla-de-seguridad-critica-informada-en-passwordstate-enterprise-password-manager\/","title":{"rendered":"Falla de seguridad cr\u00edtica informada en Passwordstate Enterprise Password Manager"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">22 de diciembre de 2022<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Gesti\u00f3n de contrase\u00f1as<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Se han revelado m\u00faltiples vulnerabilidades de alta gravedad en <b>estado de la contrase\u00f1a<\/b> soluci\u00f3n de administraci\u00f3n de contrase\u00f1as que podr\u00eda ser explotada por un adversario remoto no autenticado para obtener las contrase\u00f1as de texto sin formato de un usuario.<\/p>\n<p>&#8220;La explotaci\u00f3n exitosa permite que un atacante no autenticado extraiga contrase\u00f1as de una instancia, sobrescriba todas las contrase\u00f1as almacenadas dentro de la base de datos o eleve sus privilegios dentro de la aplicaci\u00f3n&#8221;, firma suiza de ciberseguridad modzero AG <a rel=\"nofollow noopener\" href=\"https:\/\/www.modzero.com\/modlog\/archives\/2022\/12\/19\/better_make_sure_your_password_manager_is_secure\/index.html\" target=\"_blank\">dijo<\/a> en un informe publicado esta semana.<\/p>\n<p>&#8220;Algunas de las vulnerabilidades individuales se pueden encadenar para obtener un shell en el sistema host de Passwordstate y volcar todas las contrase\u00f1as almacenadas en texto claro, comenzando con nada m\u00e1s que un nombre de usuario v\u00e1lido&#8221;.<\/p>\n<p>Passwordstate, desarrollado por una empresa australiana llamada Click Studios, tiene m\u00e1s de <a rel=\"nofollow noopener\" href=\"https:\/\/www.clickstudios.com.au\/our-customers.aspx\" target=\"_blank\">29.000 clientes<\/a> y es utilizado por m\u00e1s de 370.000 profesionales de TI.<\/p>\n<p>Uno de los defectos tambi\u00e9n impacta <a rel=\"nofollow noopener\" href=\"https:\/\/chrome.google.com\/webstore\/detail\/passwordstate\/appojfilknpkghkebigcdkmopdfcjhim\" target=\"_blank\">Estado de contrase\u00f1a versi\u00f3n 9.5.8.4<\/a> para el navegador web Chrome.  La \u00faltima versi\u00f3n del complemento del navegador es 9.6.1.2, que se lanz\u00f3 el 7 de septiembre de 2022.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/uptycs-inside\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La seguridad cibern\u00e9tica\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Google-lanza-la-mayor-base-de-datos-distribuida-de-vulnerabilidades.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La lista de vulnerabilidades identificadas por modzero AG se encuentra a continuaci\u00f3n:<\/p>\n<ul>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-3875\" target=\"_blank\">CVE-2022-3875<\/a> (Puntuaci\u00f3n CVSS: 9.1): una omisi\u00f3n de autenticaci\u00f3n para la API de Passwordstate<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-3876\" target=\"_blank\">CVE-2022-3876<\/a> (Puntuaci\u00f3n CVSS: 6.5) &#8211; Una omisi\u00f3n de los controles de acceso a trav\u00e9s de claves controladas por el usuario<\/li>\n<li><a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-3877\" target=\"_blank\">CVE-2022-3877<\/a> (Puntuaci\u00f3n CVSS: 5,7) &#8211; Una secuencia de comandos entre sitios almacenada (<a rel=\"nofollow noopener\" href=\"https:\/\/www.imperva.com\/learn\/application-security\/cross-site-scripting-xss-attacks\/\" target=\"_blank\">XSS<\/a>) vulnerabilidad en el campo URL de cada entrada de contrase\u00f1a<\/li>\n<li>Sin CVE (puntaje CVSS: 6.0): un mecanismo insuficiente para proteger las contrase\u00f1as mediante el uso de cifrado sim\u00e9trico del lado del servidor<\/li>\n<li>Sin CVE (puntaje CVSS: 5.3): uso de credenciales codificadas para enumerar eventos auditados, como solicitudes de contrase\u00f1a y cambios de cuenta de usuario a trav\u00e9s de la API<\/li>\n<li>Sin CVE (puntuaci\u00f3n CVSS: 4,3): uso de credenciales insuficientemente protegidas para listas de contrase\u00f1as<\/li>\n<\/ul>\n<p>Explotar las vulnerabilidades podr\u00eda permitir que un atacante con conocimiento de un nombre de usuario v\u00e1lido extraiga contrase\u00f1as guardadas en texto no cifrado, sobrescriba las contrase\u00f1as en la base de datos e incluso eleve los privilegios para lograr la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/12\/Falla-de-seguridad-critica-informada-en-Passwordstate-Enterprise-Password-Manager.gif\" alt=\"\" border=\"0\" data-original-height=\"408\" data-original-width=\"728\"\/><\/div>\n<p>Adem\u00e1s, un flujo de autorizaci\u00f3n inadecuado (puntuaci\u00f3n CVSS: 3,7) identificado en la extensi\u00f3n del navegador Chrome podr\u00eda convertirse en un arma para enviar todas las contrase\u00f1as a un dominio controlado por el actor.<\/p>\n<p>En una cadena de ataque demostrada por modzero AG, un actor de amenazas podr\u00eda falsificar un token API para una cuenta de administrador y explotar la falla XSS para agregar una entrada de contrase\u00f1a maliciosa para obtener un shell inverso y obtener las contrase\u00f1as alojadas en la instancia.<\/p>\n<p>Se recomienda a los usuarios actualizar a <a rel=\"nofollow noopener\" href=\"https:\/\/www.clickstudios.com.au\/passwordstate-changelog.aspx\" target=\"_blank\">Estado de contrase\u00f1a 9.6 &#8211; compilaci\u00f3n 9653<\/a> lanzado el 7 de noviembre de 2022 o versiones posteriores para mitigar las amenazas potenciales.<\/p>\n<p>Passwordstate, en abril de 2021, fue v\u00edctima de un ataque a la cadena de suministro que permiti\u00f3 a los atacantes aprovechar el mecanismo de actualizaci\u00f3n del servicio para colocar una puerta trasera en las m\u00e1quinas de los clientes.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/12\/critical-security-flaw-reported-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80222 de diciembre de 2022\ue804Ravie Lakshman\u00e1nGesti\u00f3n de contrase\u00f1as Se han revelado m\u00faltiples vulnerabilidades de alta gravedad en estado<\/p>\n","protected":false},"author":1,"featured_media":538696,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,2458,26837,2503,4662,47948,4668,4667,20951,4654,4658,4659,4653,4655,134900,134899,4663,42,4666,4665,4660],"class_list":["post-538695","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-critica","tag-enterprise","tag-falla","tag-filtracion-de-datos","tag-informada","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-manager","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-password","tag-passwordstate","tag-programa-malicioso-ransomware","tag-seguridad","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/538695","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=538695"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/538695\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/538696"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=538695"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=538695"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=538695"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}