6 уязвимостей в Passwork: от утечки данных до потери паролей

leer en español

passwork уязвимость безопасность пароли обновление Россия Positive Technologies
6 уязвимостей в Passwork: от утечки данных до потери паролей
passwork уязвимость безопасность пароли обновление Россия Positive Technologies

Эксперты нашли критические бреши в популярном менеджере.

image

Эксперты PT SWARM Алексей Писаренко, Алексей Соловьев и Олег Сурнин выявили и помогли устранить шесть уязвимостей в парольном менеджере Passwork. Эти недостатки, при их успешной эксплуатации, могли привести к утрате доступа к паролям. Данный менеджер паролей входит в единый реестр российского ПО и используется крупнейшими компаниями России, включая организации из банковского, строительного и промышленного секторов. В рамках политики ответственного разглашения вендор был уведомлен о выявленных угрозах и выпустил обновленную версию ПО .

Выявленные уязвимости, зарегистрированные под номерами BDU:2024-08016 — BDU:2024-08021 , получили оценки от 8,1 до 5,8 баллов по шкале CVSS 3.1, что соответствует среднему и высокому уровням опасности. Их успешная эксплуатация могла привести к утечке данных, а также к нелегитимным изменениям профиля пользователя вследствие выполнения фоновых запросов в браузере без ведома владельца учетной записи. Разработчики Passwork устранили недостатки в версии 6.4.3, опубликованной 14 ноября 2024 года.

Олег Сурнин сообщил, что эксплуатация уязвимости BDU:2024-08018 , имеющей оценку 7,6 балла по шкале CVSS 3.1, могла позволить злоумышленникам получить доступ к локальным файлам и каталогам на сервере. Это могло привести к недоступности приложения из-за перезаписи критически важных файлов. В случае возможности модификации файла базы данных с паролями, что зависело от параметров системы и привилегий атакующего, существовал риск полной утраты всех паролей пользователей.

Алексей Соловьев отметил, что уязвимости BDU:2024-08021 и BDU:2024-08017 открывали возможность внедрения произвольного JavaScript-кода пользователями с минимальными привилегиями. При определенных условиях этот код мог исполняться в браузере от имени администратора. Дополнительно была обнаружена уязвимость BDU:2024-08016 , эксплуатация которой могла осуществляться через вредоносную ссылку, приводя к выполнению JavaScript-кода в браузере жертвы. В результате таких атак потенциально подвергались компрометации учетные записи как администраторов, так и рядовых пользователей Passwork.

Ищем уязвимости в системе и новых подписчиков!

Первое — находим постоянно, второе — ждем вас

Эксплойтните кнопку подписки прямо сейчас