{"resultsPerPage":1,"startIndex":0,"totalResults":1,"format":"NVD_CVE","version":"2.0","timestamp":"2026-05-01T11:25:57.179","vulnerabilities":[{"cve":{"id":"CVE-2024-56733","sourceIdentifier":"security-advisories@github.com","published":"2024-12-30T17:15:09.990","lastModified":"2026-04-15T00:35:42.020","vulnStatus":"Deferred","cveTags":[],"descriptions":[{"lang":"en","value":"Password Pusher is an open source application to communicate sensitive information over the web. A vulnerability has been reported in versions 1.50.3 and prior where an attacker can copy the session cookie before a user logs out, potentially allowing session hijacking. Although the session token is replaced and invalidated upon logout, if an attacker manages to capture the session cookie before this process, they can use the token to gain unauthorized access to the user's session until the token expires or is manually cleared. This vulnerability hinges on the attacker's ability to access the session cookie during an active session, either through a man-in-the-middle attack, by exploiting another vulnerability like XSS, or via direct access to the victim's device. Although there is no direct resolution to this vulnerability, it is recommended to always use the latest version of Password Pusher to best mitigate risk. If self-hosting, ensure Password Pusher is hosted exclusively over SSL connections to encrypt traffic and prevent session cookies from being intercepted in transit. Additionally, implement best practices in local security to safeguard user systems, browsers, and data against unauthorized access."},{"lang":"es","value":"Password Pusher es una aplicación de código abierto para comunicar información confidencial a través de la web. Se ha informado de una vulnerabilidad en las versiones 1.50.3 y anteriores en las que un atacante puede copiar la cookie de sesión antes de que un usuario cierre la sesión, lo que potencialmente permite el secuestro de la sesión. Aunque el token de sesión se reemplaza y se invalida al cerrar la sesión, si un atacante logra capturar la cookie de sesión antes de este proceso, puede usar el token para obtener acceso no autorizado a la sesión del usuario hasta que el token caduque o se borre manualmente. Esta vulnerabilidad depende de la capacidad del atacante para acceder a la cookie de sesión durante una sesión activa, ya sea a través de un ataque de intermediario, explotando otra vulnerabilidad como XSS o mediante el acceso directo al dispositivo de la víctima. Aunque no existe una solución directa para esta vulnerabilidad, se recomienda utilizar siempre la última versión de Password Pusher para mitigar mejor el riesgo. Si se aloja por cuenta propia, asegúrese de que Password Pusher esté alojado exclusivamente en conexiones SSL para cifrar el tráfico y evitar que las cookies de sesión se intercepten en tránsito. Además, implemente las mejores prácticas en seguridad local para proteger los sistemas, navegadores y datos de los usuarios contra el acceso no autorizado."}],"metrics":{"cvssMetricV31":[{"source":"security-advisories@github.com","type":"Secondary","cvssData":{"version":"3.1","vectorString":"CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:N","baseScore":5.7,"baseSeverity":"MEDIUM","attackVector":"LOCAL","attackComplexity":"HIGH","privilegesRequired":"HIGH","userInteraction":"NONE","scope":"UNCHANGED","confidentialityImpact":"HIGH","integrityImpact":"HIGH","availabilityImpact":"NONE"},"exploitabilityScore":0.5,"impactScore":5.2}]},"weaknesses":[{"source":"security-advisories@github.com","type":"Secondary","description":[{"lang":"en","value":"CWE-384"}]}],"references":[{"url":"https://github.com/pglombardo/PasswordPusher/security/advisories/GHSA-4fwj-m62q-pp47","source":"security-advisories@github.com"}]}}]}