Реклама, АО «Позитив Текнолоджиз», ИНН 7718668887, 18+
Image

В эфире — прогнозы Киберпогоды. Представим новую платформу прогнозирования атак 17 июня

6 уязвимостей в Пассворке: от утечки данных до компрометации паролей

leer en español

6916
«Пассворк» уязвимость безопасность пароли обновление Россия Positive Technologies
6 уязвимостей в Пассворке: от утечки данных до компрометации паролей
«Пассворк» уязвимость безопасность пароли обновление Россия Positive Technologies

Эксперты нашли критические бреши в популярном менеджере.

image

Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин выявили и помогли устранить шесть уязвимостей в парольном менеджере Пассворк. При успешной эксплуатации эти недостатки могли привести к утрате доступа к паролям. Менеджер паролей входит в единый реестр российского ПО и используется крупными российскими компаниями, включая организации из банковского, строительного и промышленного секторов. В рамках ответственного раскрытия вендора уведомили о выявленных проблемах, после чего разработчики выпустили обновленную версию ПО.

Выявленные уязвимости, зарегистрированные под номерами BDU:2024-08016 - BDU:2024-08021, получили оценки от 8,1 до 5,8 балла по шкале CVSS 3.1. Это соответствует среднему и высокому уровням опасности. Успешная эксплуатация могла привести к утечке данных, а также к несанкционированному изменению профиля пользователя через фоновые запросы в браузере без ведома владельца учетной записи. Разработчики Пассворка устранили недостатки в версии 6.4.3, опубликованной 14 ноября 2024 года.

Олег Сурнин сообщил, что эксплуатация уязвимости BDU:2024-08018 с оценкой 7,6 балла по шкале CVSS 3.1 могла позволить злоумышленникам получить доступ к локальным файлам и каталогам на сервере. Это могло привести к недоступности приложения из-за перезаписи критически важных файлов. Если атакующий мог изменить файл базы данных с паролями, возникал риск полной утраты всех паролей пользователей. Возможность такой атаки зависела от параметров системы и привилегий злоумышленника.

Алексей Соловьев отметил, что уязвимости BDU:2024-08021 и BDU:2024-08017 позволяли пользователям с минимальными привилегиями внедрять произвольный JavaScript-код. При определенных условиях код мог выполняться в браузере от имени администратора. Дополнительно исследователи обнаружили уязвимость BDU:2024-08016, которую можно было использовать через вредоносную ссылку для выполнения JavaScript-кода в браузере жертвы. В результате под угрозой могли оказаться учетные записи администраторов и рядовых пользователей Пассворка.