開源密碼管理工具 KeePass 近日被爆存在安全漏洞，允許攻擊者在用戶不知情的情況下，以純文本形式導出整個數據庫。

相比較 LastPass 和 Bitwarden 的云托管方式 ，開源密碼管理工具 KeePass 主要使用本地存儲的數據庫來管理數據庫。

為了保護這些本地數據庫，用戶可以使用主密碼對它們進行加密。這樣惡意軟件或威脅行為者就不能竊取數據庫，也就無法訪問存儲在其中的相關密碼。

新漏洞現在被跟蹤為 CVE-2023-24055。攻擊者在獲取目標系統的寫入權限之后，通過更改 KeePass XML 配置文件并注入惡意觸發器，之后該觸發器將以明文方式導出包含所有用戶名和密碼的數據庫。

整個導出過程完全在后臺完成，不會向受害者發出通知，不需要進行前期的交互，也不需要受害者輸入主密碼，從而允許威脅者悄悄地訪問所有存儲的密碼。

在報告并分配了一個 CVE-ID 之后，用戶要求 KeePass 背后的開發團隊在靜默數據庫導出之前添加一個確認提示，在通過惡意修改的配置文件觸發導出后需要發出提示，或者提供一個沒有導出功能的應用程序版本。

KeePass 官方則回應表示，這個問題不應該歸咎于 KeePass。KeePass 開發人員解釋道：“擁有對 KeePass 配置文件的寫入權限通常意味著攻擊者實際上可以執行比修改配置文件更強大的攻擊（這些攻擊最終也會影響 KeePass，獨立于配置文件保護）”。

開發人員繼續說道：“只能通過保持環境安全（通過使用防病毒軟件、防火墻、不打開未知電子郵件附件等）來防止這些攻擊。KeePass 無法在不安全的環境中神奇地安全運行”。