Ich sehe das wie der Entwickler. Wenn jemand an meinem System mit geöffneter kdb DB sitzt spielt es keine Rolle mehr was er mit dem PW u.s.w. anstellen könnte. Er hat ja eh vollen Zugriff auf alle Daten in der DB.
Bei der CVE geht es wohl eher darum KeePassX zu diskreditieren. Quelloffen, keine Hintertüren für welchen Dienst auch immer u.s.w. Für mich existiert nicht mal ansatzweise eine Alternative.