Die "Sicherheitslücke" ist, dass der User den Vault öffnet und offen lässt. Hier mal eine Übersetzung vom Hersteller:
Am 19. Juni 2023 wurde eine angebliche KeePassXC-Schwachstelle mit der Kennung CVE-2023-35866 für KeePassXC-Versionen bis 2.7.5 veröffentlicht. Als Entwickler von KeePassXC betrachten wir das Problem nicht als Sicherheitslücke und haben einen Antrag auf Ablehnung der CVE gestellt. Zusätzliche Informationen können in der Diskussion auf GitHub gefunden werden.
Das Hauptargument des CVE-Autors ist, dass ein Angreifer mit uneingeschränktem Zugriff auf eine bereits entsperrte Datenbank das Passwort exportieren oder ändern könnte, ohne die ursprünglichen Anmeldedaten zu benötigen. Wenn dies zutrifft, gibt es zahlreiche Hindernisse für die tatsächliche Ausführung dieser Angriffssequenz. Wenn der Angreifer auf diese Weise die Kontrolle über Ihren Computer verloren hat, könnte er außerdem eine beliebige Anzahl von Sicherheitsangriffen auf Ihre KeePassXC-Datenbank durchführen, unabhängig davon, ob vor dem Export oder der Änderung der Zugangsdaten Zugangsdaten erforderlich sind.
Zum jetzigen Zeitpunkt planen wir keine drastischen Änderungen am Programm, um dieser Eingabe zu begegnen. Wir beobachten auch den Antrag auf Ablehnung/Disput dieser CVE mit der Begründung, dass es sich nicht um eine Sicherheitslücke in unserer Software handelt. Informationen zu Abhilfemaßnahmen und anderen Faktoren finden Sie nach der Pause.
Die Begründung für die Ablehnung dieses CVEs lautet wie folgt:
Bei diesem Problem handelt es sich nicht um eine Sicherheitslücke. KeePassXC ist ein Offline-Passwortmanager und daher gibt es so etwas wie einen "authentifizierten Benutzer" nicht. Die Abfrage des Benutzers nach seinem Passwort, bevor er Änderungen an den Datenbankeinstellungen vornimmt, bietet keinen zusätzlichen Schutz vor einem lokalen Angreifer. Ein Angreifer kann IMMER Änderungen an der Datenbank vornehmen oder ihren Inhalt kopieren, wenn er Zugang zu ihr in unverschlüsselter Form erhält. Daran ändert auch eine Passwortabfrage nichts. Es gibt auch keinen "zweiten Faktor" für die "Authentifizierung" (und kann es auch nicht geben). Auch dies ist ein Konstruktionsmerkmal eines Offline-Passwortmanagers und kein Sicherheitsproblem. Das ist etwas anderes als bei Online-Webdiensten.