✔Шесть уязвимостей исправили в российском менеджере паролей Passwork - «Новости»

15 февраля 2025 307 Типы носителей / Новости 0

Passwork внесен в единый реестр российского ПО, и менеджер используют крупнейшие российские компании, работающие в банковской, строительной, промышленной и других отраслях.

Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 баллов по шкале CVSS. В случае их успешной эксплуатации атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы.

«Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа Path Traversal) могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех паролей», — рассказывает Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies.

По словам Алексея Соловьева, было выявлено несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог внедрить произвольный jаvascript-код.

После совершения определенных действий атакующим такой jаvascript-код мог быть выполнен в браузере пользователя, в том числе и от имени администратора.

Кроме того, был найден сценарий эксплуатации уязвимости BDU:2024-08016, который позволял выполнить произвольный код jаvascript в браузере пользователя, если перед этим жертва перешла по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы аккаунты как администратора Passwork, так и обычного пользователя.

Исследователи уведомили производителя о найденных проблемах, после чего разработчики выпустили обновление. Уязвимости были устранены в версии 6.4.3, выпущенной 14 ноября 2024 года.

Специалисты Positive Technologies (Алексей Писаренко, Алексей Соловьев и Олег Сурнин) помогли устранить шесть уязвимостей в парольном менеджере Passwork. Успешная эксплуатация этих проблем могла привести к потере доступа к паролям. Passwork внесен в единый реестр российского ПО, и менеджер используют крупнейшие российские компании, работающие в банковской, строительной, промышленной и других отраслях. Уязвимости BDU:2024-08016 — BDU:2024-08021 получили оценки от 8,1 до 5,8 баллов по шкале CVSS. В случае их успешной эксплуатации атаки могли потенциально привести к утечке информации, а также к нелегитимным изменениям данных профиля в результате выполнения произвольных фоновых (то есть без взаимодействия с пользователем) запросов в браузере жертвы. «Эксплуатация BDU:2024-08018 (оценка 7,6 балла по шкале CVSS 3.1, уязвимость типа Path Traversal) могла бы позволить злоумышленнику получить доступ к локальным файлам и каталогам на сервере. Такие действия могли бы привести к недоступности приложения Passwork за счет перезаписи файлов. Кроме того, если бы нарушитель смог переписать файл базы данных с паролями (это зависит от параметров самого приложения и полученных атакующим привилегий), возник бы риск утраты всех паролей», — рассказывает Олег Сурнин, руководитель группы исследований безопасности мобильных приложений, Positive Technologies. По словам Алексея Соловьева, было выявлено несколько сценариев эксплуатации уязвимостей BDU:2024-08021 и BDU:2024-08017, при которых злоумышленник, имея минимальные привилегии в системе, мог внедрить произвольный jаvascript-код. После совершения определенных действий атакующим такой jаvascript-код мог быть выполнен в браузере пользователя, в том числе и от имени администратора. Кроме того, был найден сценарий эксплуатации уязвимости BDU:2024-08016, который позволял выполнить произвольный код jаvascript в браузере пользователя, если перед этим жертва перешла по вредоносной ссылке. В ходе таких атак могли быть скомпрометированы аккаунты как администратора Passwork, так и обычного пользователя. Исследователи уведомили производителя о найденных проблемах, после чего разработчики выпустили обновление. Уязвимости были устранены в версии 6.4.3, выпущенной 14 ноября 2024 года.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.