Plataforma
windows
Componente
keepass-password-safe
Corregido en
2.44.1
La vulnerabilidad CVE-2020-37178 afecta a KeePass Password Safe en versiones anteriores a 2.44. Se trata de una denegación de servicio (DoS) que permite a un atacante provocar la inestabilidad o el cierre de la aplicación. Esta vulnerabilidad se activa al arrastrar y soltar archivos HTML maliciosos en el área de ayuda de KeePass. La solución es actualizar a la versión 2.44.
Un atacante puede explotar esta vulnerabilidad arrastrando y soltando archivos HTML especialmente diseñados en el sistema de ayuda de KeePass Password Safe. Esto puede resultar en la congelación de la aplicación, un cierre inesperado o incluso la imposibilidad de acceder a las contraseñas almacenadas. Aunque no permite el acceso directo a los datos, la interrupción del servicio puede ser significativa, especialmente para usuarios que dependen de KeePass para la gestión segura de sus credenciales. La vulnerabilidad reside en la forma en que KeePass procesa el contenido HTML, permitiendo la ejecución de código malicioso que afecta a la estabilidad de la aplicación.
Esta vulnerabilidad fue publicada el 2026-02-11. No se ha reportado su explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario para arrastrar y soltar el archivo malicioso.
Users of KeePass Password Safe who have not upgraded to version 2.44 are at risk. This includes users who rely on KeePass for secure password storage and those who frequently interact with the application's help system, potentially increasing their exposure to malicious HTML files.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq "KeePass.exe"}• windows / supply-chain:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\KeePass' -Name 'Version'• windows / supply-chain: Check Autoruns for unusual entries related to KeePass or its components.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2020-37178 es actualizar KeePass Password Safe a la versión 2.44 o superior. Esta versión incluye una corrección que aborda la forma en que se procesan los archivos HTML en el sistema de ayuda. Si la actualización causa problemas de compatibilidad, se recomienda realizar una copia de seguridad de la base de datos de contraseñas antes de actualizar. No existen configuraciones alternativas o reglas de firewall que puedan mitigar completamente esta vulnerabilidad sin actualizar la aplicación. Después de la actualización, confirme que el sistema de ayuda funciona correctamente y que no se produce ningún comportamiento inesperado al arrastrar y soltar archivos.
Actualice KeePass Password Safe a la versión 2.44 o posterior. Esta versión corrige la vulnerabilidad de denegación de servicio al manejar archivos HTML en el sistema de ayuda. Descargue la última versión desde el sitio web oficial de KeePass.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-37178 is a denial-of-service vulnerability in KeePass Password Safe versions before 2.44. Attackers can crash the application by dragging malicious HTML files into the help system.
Yes, if you are using KeePass Password Safe version 2.44 or earlier, you are affected by this vulnerability.
Upgrade KeePass Password Safe to version 2.44 or later to resolve the vulnerability.
There are currently no reports of active exploitation of CVE-2020-37178.
Refer to the official KeePass Password Safe website for the advisory and release notes: https://keepass.info/.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.