別のパスワード マネージャー リーク バグ: しかし、KeePass は CVE を否定 from securityboulevard.com

KeePass 構成ファイル KeePass.config.xml への書き込みアクセス権を持つ攻撃者は、ファイルを変更して悪意のあるトリガーを挿入できます。
KeePass は、LastPass や Bitwarden などのクラウドでホストされているデータベースではなく、ローカルに保存されたデータベースを使用してパスワードを管理できる、非常に人気のあるオープンソースのパスワード マネージャーです。
… 新しい脆弱性 … 標的のシステムへの書き込みアクセス権を持つ攻撃者が、KeePass XML 構成ファイルを変更し、すべてのユーザー名とパスワードをクリアテキストで含むデータベースをエクスポートする悪意のあるトリガーを挿入できるようにします。
[しかし] KeePass 開発チームは、これを脆弱性として分類すべきではないと主張しています: …「これらの攻撃は、環境を安全に保つことによってのみ防ぐことができます。…KeePass は、安全でない環境で魔法のように安全に実行することはできません。」
攻撃者が xml 構成ファイルを変更すると (「開いているデータベース ファイル」にエクスポート トリガーを追加する)、私たちが知らないうちにすべてのパスワードをエクスポートできるようになります。
エクスポートする前にユーザーに確認を求めるべきではありませんか…パスワードマネージャーがプレーンテキストの構成ファイルと同じくらい安全である場合、スプレッドシートの代わりにそれを使用してパスワードを保存する必要があるのはなぜですか