Один из самых популярных менеджеров паролей оказался с изъяном. Уязвимость CVE-2023-24055 позволяет злоумышленнику, имеющему доступ на запись, внести изменение в конфигурационный файл KeePass, которые приведут к срабатыванию триггера по экспорту базы данных менеджера паролей в текстовом виде.
Когда вы открываете KeePass и вводите мастер-пароль, срабатывает триггер, и все ваши пароли экспортируются в отдельный файл. Этот процесс происходит незаметно для пользователя. Злоумышленнику останется только скопировать содержимое этого файла и получить все ваши пароли на блюдечке.
Разработчики KeePass не считают это уязвимостью, а пользователи и хакеры очень даже считают. Пользователи просят избавить их от этого нежелательного функционала, а хакеры... уже выкатили готовый PoC-эксплоит.
Ссылки
https://xakep.ru/2023/01/31/keepass-flaw
P.S.
Если подумать, то менеджер паролей должен защитить файл паролей от других пользователей компьютера, не суть важно каких, хакеров или легитимных пользователей компьютера. Если не считать это уязвимостью, то зачем вообще тогда нужен этот менеджер паролей, от чего он защищает?
