Vulnerabilidad en el proceso de autenticación en KeePassXC Password Manager

KeePassXC es un gestor de contraseñas de código abierto y gratuito. Proporciona una forma segura de almacenar y administrar contraseñas, claves de cifrado y otra información confidencial. KeePassXC se basa en KeePass Password Safe, pero ofrece varias mejoras y características adicionales.

Oficialmente soporta los sistemas operativos MacOS y Linux. Recientemente se detectó una vulnerabilidad de tipo bypass en el proceso de autenticación en KeePassXC.

La vulnerabilidad se encuentra identificada como CVE-2023-35866 con una gravedad y puntaje base CVSS desconocido.

Permite a un atacante local puede realizar cambios en la configuración de seguridad de la base de datos, incluida la contraseña maestra y la autenticación de segundo factor, dentro de una sesión autenticada de la base de datos de KeePassXC, sin necesidad de autenticar estos cambios ingresando la contraseña y/o la segunda factor de autenticación para confirmar los cambios.

Versiones afectadas

KeePassXC en version 2.7.5 y anteriores.

Solución

De momento no se conoce alguna actualización o parche de seguridad para solucionar esta vulnerabilidad.

Recomendaciones

Se recomienda a los usuarios tomar medidas de mitigación y esperar a nuevas actualizaciones que cuenten con parches de seguridad para proteger sus sistemas contra esta amenaza.

Referencias.