Divulgation dâune vulnĂ©rabilitĂ© dans 1Password CLI permettant lâexfiltration de coffres via la chaĂźne dâapprovisionnement
Source: manchicken (GitHub) â Le chercheur publie une divulgation responsable dâune vulnĂ©rabilitĂ© signalĂ©e Ă 1Password en octobre 2023 et autorisĂ©e Ă la publication via BugCrowd en janvier 2024, portant sur le comportement de 1Password CLI (op). âą Nature de la vulnĂ©rabilitĂ©: une fois le coffre dĂ©verrouillĂ© via 1Password CLI, la session reste active et est hĂ©ritĂ©e par les processus enfants, sans nouvelle invite. Ce comportement permet Ă des composants de la chaĂźne dâoutillage (ex. extensions ou scripts postâinstallation) dâaccĂ©der aux secrets sans interaction supplĂ©mentaire. Le chercheur montre que les mots de passe sont rĂ©cupĂ©rables en clair et que lâoutil peut Ă©numĂ©rer les coffres et les Ă©lĂ©ments. ...