Múltiples vulnerabilidades en Password Manager
- Password Manager (testeado en versiones anteriores a fecha 06/08/2025).
INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Password Manager, una aplicación para la gestión de contraseñas de múltiples tipos de servicios. Las vulnerabilidades han sido descubiertas por Julen Garrido Estévez.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-10836: CVSS v4.0: 5.8 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE-644
- CVE-2026-10837: CVSS v4.0: 5.8 | CVSS AV:N/AC:H/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-601
- CVE-2026-10839: CVSS v4.0: 5.8 | CVSS AV:N/AC:H/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-601
Las vulnerabilidades han sido solucionadas por el equipo de Password Manager el 07/08/2025. Se recomienda actualizar a la última versión disponible.
- CVE-2026-10836: vulnerabilidad de neutralización inadecuada de cabeceras HTTP que permite a un atacante remoto manipular el valor del encabezado Host mediante peticiones especialmente diseñadas. Una explotación exitosa podría provocar la generación de enlaces o respuestas manipuladas, facilitando la exposición limitada de información o afectando a la integridad de servicios dependientes.
- CVE-2026-10837: vulnerabilidad de redirección abierta debido a una validación insuficiente del encabezado HTTP X-Forwarded-Host. Un atacante podría crear enlaces manipulados que, al ser abiertos por una víctima, provoquen su redirección a dominios controlados por el atacante, permitiendo acciones de phishing o engaño con impacto limitado en la confidencialidad e integridad.
- CVE-2026-10839: vulnerabilidad de redirección abierta en el sistema de autenticación que permite utilizar valores manipulados del encabezado X-Forwarded-Host para alterar las URL generadas por la aplicación. Una explotación exitosa podría redirigir a usuarios autenticados a sitios maliciosos tras procesos de inicio de sesión o interacción con la interfaz, afectando de forma limitada a la confidencialidad e integridad.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-10836 | Media | No | Password Manager |
| CVE-2026-10837 | Media | No | Password Manager |
| CVE-2026-10839 | Media | No | Password Manager |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.