Vulnerabilidad en Password Pusher (CVE-2024-56733)

Password Pusher es una aplicación de código abierto para comunicar información confidencial a través de la web. Se ha informado de una vulnerabilidad en las versiones 1.50.3 y anteriores en las que un atacante puede copiar la cookie de sesión antes de que un usuario cierre la sesión, lo que potencialmente permite el secuestro de la sesión. Aunque el token de sesión se reemplaza y se invalida al cerrar la sesión, si un atacante logra capturar la cookie de sesión antes de este proceso, puede usar el token para obtener acceso no autorizado a la sesión del usuario hasta que el token caduque o se borre manualmente. Esta vulnerabilidad depende de la capacidad del atacante para acceder a la cookie de sesión durante una sesión activa, ya sea a través de un ataque de intermediario, explotando otra vulnerabilidad como XSS o mediante el acceso directo al dispositivo de la víctima. Aunque no existe una solución directa para esta vulnerabilidad, se recomienda utilizar siempre la última versión de Password Pusher para mitigar mejor el riesgo. Si se aloja por cuenta propia, asegúrese de que Password Pusher esté alojado exclusivamente en conexiones SSL para cifrar el tráfico y evitar que las cookies de sesión se intercepten en tránsito. Además, implemente las mejores prácticas en seguridad local para proteger los sistemas, navegadores y datos de los usuarios contra el acceso no autorizado.