Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a KeePassXC, que permitiría a un atacante local obtener acceso no autorizado y realizar cambios en la base de datos del sistema afectado.
La vulnerabilidad identificada como CVE-2023-35866, sin severidad ni puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en los controles de accesos de KeePassXC. Esto permitiría a un atacante local obtener acceso no autorizado a la configuración de seguridad de la base de datos a través de una sesión autenticada, permitiendo exportar toda la base de datos, cambiar la contraseña y la configuración de verificación de dos pasos del sistema afectado.
Las versiones afectadas son:
- KeePassXC, versiones anteriores a 2.7.6.
Recomendamos instalar la actualización correspondiente provista por el fabricante en el siguiente enlace:
Referencias:
- https://securityonline.info/keepassxc-vulnerability-cve-2023-35866-allows-attackers-to-change-the-master-password-and-second-factor-authentication-settings/
- https://nvd.nist.gov/vuln/detail/CVE-2023-35866
- https://www.cert.gov.py/noticias/vulnerabilidad-de-acceso-no-autorizado-a-la-base-de-datos-en-keepassxc/
- https://github.com/keepassxreboot/keepassxc/milestone/35