Vulnerabilidad en Passbolt Browser Extension (CVE-2024-33669)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
26/04/2024
Última modificación:
18/06/2025
Descripción
Se descubrió un problema en Passbolt Browser Extension antes de 4.6.2. Puede enviar múltiples solicitudes a HaveIBeenPwned mientras se escribe una contraseña, lo que resulta en una fuga de información. Esto permite a un atacante capaz de observar las consultas HTTPS de Passbolt a la API de Pwned Password forzar más fácilmente las contraseñas que el usuario escribe manualmente.
Impacto
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:passbolt:passbolt_browser_extension:*:*:*:*:*:*:*:* | 4.6.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.quarkslab.com/passbolt-a-bold-use-of-haveibeenpwned.html
- https://haveibeenpwned.com
- https://help.passbolt.com/incidents/pwned-password-service-information-leak
- https://www.passbolt.com
- https://www.passbolt.com/security/more
- https://blog.quarkslab.com/passbolt-a-bold-use-of-haveibeenpwned.html
- https://haveibeenpwned.com
- https://help.passbolt.com/incidents/pwned-password-service-information-leak
- https://www.passbolt.com
- https://www.passbolt.com/security/more