CVE-2020-37178 是 KeePass Password Safe 密码管理器中发现的拒绝服务(DoS)漏洞。攻击者可以利用此漏洞通过将恶意 HTML 文件拖放到帮助系统区域来导致应用程序崩溃或不稳定。此漏洞影响 KeePass Password Safe 2.44 之前的版本。建议用户尽快升级到 2.44 版本以修复此问题。
此漏洞允许攻击者通过精心构造的 HTML 文件,导致 KeePass Password Safe 应用程序崩溃或变得不稳定。攻击者无需身份验证即可触发此漏洞,这意味着任何用户都可以成为攻击目标。虽然此漏洞不会导致数据泄露,但它可能会导致用户无法访问其密码数据库,从而造成不便和潜在的安全风险。攻击者可以反复触发此漏洞,从而导致服务中断。
此漏洞已公开披露,并且存在潜在的利用风险。目前尚无已知的公开利用程序,但由于漏洞的易利用性,建议尽快采取缓解措施。此漏洞尚未被添加到 CISA KEV 目录。
Users of KeePass Password Safe who have not upgraded to version 2.44 are at risk. This includes users who rely on KeePass for secure password storage and those who frequently interact with the application's help system, potentially increasing their exposure to malicious HTML files.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq "KeePass.exe"}• windows / supply-chain:
Get-ItemProperty -Path 'HKLM:\SOFTWARE\KeePass' -Name 'Version'• windows / supply-chain: Check Autoruns for unusual entries related to KeePass or its components.
disclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即升级 KeePass Password Safe 到 2.44 或更高版本。如果无法立即升级,可以尝试限制用户对帮助系统的访问权限,或者禁用 HTML 帮助功能(如果可行)。由于此漏洞涉及 HTML 处理,因此在网络层面上实施严格的输入验证和过滤规则可能有助于减轻风险,但不能替代升级。升级后,请确认帮助系统正常工作,并测试密码数据库的访问。
Actualice KeePass Password Safe a la versión 2.44 o posterior. Esta versión corrige la vulnerabilidad de denegación de servicio al manejar archivos HTML en el sistema de ayuda. Descargue la última versión desde el sitio web oficial de KeePass.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2020-37178 是 KeePass Password Safe 2.44 之前的版本中发现的拒绝服务漏洞,攻击者可以通过拖放恶意 HTML 文件来导致应用程序崩溃。
如果您使用的是 KeePass Password Safe 2.44 之前的版本,则可能受到此漏洞的影响。请尽快升级到最新版本。
升级到 KeePass Password Safe 2.44 或更高版本是修复此漏洞的最佳方法。
目前尚无已知的公开利用程序,但由于漏洞的易利用性,建议尽快采取缓解措施。
请访问 KeePass Password Safe 官方网站或 GitHub 仓库,查找有关此漏洞的公告和修复信息。