Host Header Poisoning im Team Password Manager (SYSS-2021-060)

Im Team Password Manager vor Version 10.135.236 wird bei Anfragen zum Zurücksetzen von Passwörtern der in der Anfrage mitgegebene HTTP-Header "Host" als Teil des „Passwort zurücksetzen“-Links verwendet.
Dies bietet Potenzial für Social Engineering, da beim Anklicken eines manipulierten Links die zum Setzen eines neuen Passworts benötigten Daten an Angreifer übertragen werden.

Es wird daher empfohlen, Team Password Manager-Installationen auf die aktuelle Version zu aktualisieren und die entsprechende Konfigurationsoption korrekt zu setzen.

Detaillierte Informationen zu der gefundenen Schwachstelle finden Sie in unserem Security Advisory / You will find detailed information about these security issues in our Security Advisory:

• SYSS-2021-060

Weitere Informationen über unsere Responsible Disclosure Policy bei der Veröffentlichung von Security Advisories finden Sie hier.

You will find further information about our Responsible Disclosure Policy concerning the publishing process of SySS Security Advisories here.