密码管理器中的多个漏洞 漏洞概述 INCIBE协调披露了三个中等严重性漏洞,影响密码管理器应用。这些漏洞由Julen Garrido Estévez发现。 影响范围 密码管理器(在2025年8月6日之前测试的版本) 修复方案 漏洞已于2025年7月8日由密码管理器团队修复。建议更新到最新版本。 漏洞详情 CVE-2026-10836: 不当处理HTTP头,允许远程攻击者通过特别构造的请求操纵Host头的值。成功利用可能导致生成操纵的链接或响应,潜在导致有限信息泄露或损害依赖服务的完整性。 CVE-2026-10837: 由于对X-Forwarded-Host HTTP头验证不足导致的开放重定向漏洞。攻击者可以创建操纵的链接,当受害者打开时,将其重定向到攻击者控制的域名,启用钓鱼或欺骗攻击,对机密性和完整性造成有限影响。 CVE-2026-10839: 认证系统中的开放重定向漏洞,允许攻击者在X-Forwarded-Host头中使用操纵的值,以更改应用程序生成的URL。成功利用可能将经过身份验证的用户重定向到恶意站点,在登录过程或与应用交互后。 漏洞代码 CVE-2026-10836: CVSS v4.0 5.1 CVE-2026-10837: CVSS v4.0 5.1 CVE-2026-10839: CVSS v4.0 5.1