- 19,421
- 40
- 8 Ноя 2022
Эксперты нашли критические бреши в популярном менеджере.
Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин выявили и помогли устранить шесть уязвимостей в парольном менеджере Passwork. Эти недостатки, при их успешной эксплуатации, могли привести к утрате доступа к паролям. Данный менеджер паролей входит в единый реестр российского ПО и используется крупнейшими компаниями России, включая организации из банковского, строительного и промышленного секторов. В рамках политики ответственного разглашения вендор был уведомлен о выявленных угрозах и выпустил Для просмотра ссылки Войдиили Зарегистрируйся .
Выявленные уязвимости, зарегистрированные под номерами Для просмотра ссылки Войдиили Зарегистрируйся , получили оценки от 8,1 до 5,8 баллов по шкале CVSS 3.1, что соответствует среднему и высокому уровням опасности. Их успешная эксплуатация могла привести к утечке данных, а также к нелегитимным изменениям профиля пользователя вследствие выполнения фоновых запросов в браузере без ведома владельца учетной записи. Разработчики Passwork устранили недостатки в версии 6.4.3, опубликованной 14 ноября 2024 года.
Олег Сурнин сообщил, что эксплуатация уязвимости Для просмотра ссылки Войдиили Зарегистрируйся , имеющей оценку 7,6 балла по шкале CVSS 3.1, могла позволить злоумышленникам получить доступ к локальным файлам и каталогам на сервере. Это могло привести к недоступности приложения из-за перезаписи критически важных файлов. В случае возможности модификации файла базы данных с паролями, что зависело от параметров системы и привилегий атакующего, существовал риск полной утраты всех паролей пользователей.
Алексей Соловьев отметил, что уязвимости Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся открывали возможность внедрения произвольного JavaScript-кода пользователями с минимальными привилегиями. При определенных условиях этот код мог исполняться в браузере от имени администратора. Дополнительно была обнаружена Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , эксплуатация которой могла осуществляться через вредоносную ссылку, приводя к выполнению JavaScript-кода в браузере жертвы. В результате таких атак потенциально подвергались компрометации учетные записи как администраторов, так и рядовых пользователей Passwork.
Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин выявили и помогли устранить шесть уязвимостей в парольном менеджере Passwork. Эти недостатки, при их успешной эксплуатации, могли привести к утрате доступа к паролям. Данный менеджер паролей входит в единый реестр российского ПО и используется крупнейшими компаниями России, включая организации из банковского, строительного и промышленного секторов. В рамках политики ответственного разглашения вендор был уведомлен о выявленных угрозах и выпустил Для просмотра ссылки Войди
Выявленные уязвимости, зарегистрированные под номерами Для просмотра ссылки Войди
Олег Сурнин сообщил, что эксплуатация уязвимости Для просмотра ссылки Войди
Алексей Соловьев отметил, что уязвимости Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
