Múltiples vulnerabilidades relacionadas con la omisión de autenticación en el software Passwordstate Enterprise Password Manager 

22/12/2022 Noticias 0

Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a Passwordstate Enterprise Password Manager, que permitirían a un atacante no autenticado realizar una omisión de autenticación en la API de Passwordstate, también permitiría llevar a cabo ataques Cross-site scripting (XSS), entre otros. 

Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica” y 2 (dos) de severidad “Media”. Las mismas se detallan a continuación: 

  • CVE-2022-3875, de severidad “Critica” y con puntuación de 9.1. Esta vulnerabilidad se debe a una falla de control en el código del componente de la API. Esto permitiría a un atacante remoto realizar omisión de autenticación en el sistema afectado. 
  • CVE-2022-3876, de severidad “Media” y con puntuación de 6.5. Esta vulnerabilidad se debe a una falla de control en el archivo /api/browserextension/UpdatePassword/ del componente de la API. Esto permitiría a un atacante remoto realizar omisión de autenticación en el sistema afectado. 
  • CVE-2022-3877, de severidad “Media” y con puntuación de 5.7. Esta vulnerabilidad se debe a una falta de control de datos ingresados en el componente URL Field Handler de la API. Esto permitiría a un atacante remoto realizar ataques Cross-site scripting (XSS) en el sistema afectado. 

Las versiones afectadas son:  

  • Passwordstate 9.5 – Build 9583 y anteriores.  
  • Passwordstate Browser Extension Chrome 9.5.8.4. 

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante los siguientes enlaces: 

Referencias: 

Compartir: