Click Studios, desenvolvedora da solução de gerenciamento de senhas empresariais Passwordstate, anunciou o lançamento de atualizações de segurança para corrigir uma vulnerabilidade de authentication bypass em seu software.
O problema, que ainda não recebeu um identificador CVE, foi solucionado na versão Passwordstate 9.9 (Build 9972), lançada em 28 de agosto de 2025.
A empresa australiana informou que corrigiu um "potencial Authentication Bypass ao utilizar uma URL especialmente elaborada contra a página de Emergency Access dos produtos principais do Passwordstate".
Além disso, a versão mais recente inclui proteções aprimoradas para prevenir possíveis ataques de clickjacking direcionados à extensão do navegador, no caso de usuários acessarem sites comprometidos.
Essas medidas de segurança provavelmente são uma resposta às descobertas do pesquisador Marek Tóth, que no início deste mês detalhou uma técnica chamada Document Object Model (DOM)-based extension clickjacking, que afeta diversas extensões de gerenciadores de senha para navegadores.
“Um único clique em qualquer parte de um site controlado pelo atacante poderia permitir que ele roubasse dados dos usuários (detalhes de cartão de crédito, dados pessoais, credenciais de login, incluindo TOTP)”, explicou Tóth.
“A nova técnica é geral e pode ser aplicada a outros tipos de extensões.”
Segundo a Click Studios, o gerenciador de credenciais é utilizado por 29 mil clientes e 370 mil profissionais de segurança e TI, abrangendo empresas globais, agências governamentais, instituições financeiras e companhias da lista Fortune 500.
A divulgação ocorre mais de quatro anos após a empresa ter sofrido um ataque à sua cadeia de suprimentos, que permitiu a invasores sequestrar o mecanismo de atualização do software para distribuir malware capaz de coletar informações sensíveis dos sistemas comprometidos.
Em dezembro de 2022, a Click Studios também corrigiu múltiplas falhas de segurança no Passwordstate, incluindo um authentication bypass na API do Passwordstate (
CVE-2022-3875
, pontuação CVSS: 9.1) que poderia ter sido explorado por um invasor remoto não autenticado para obter senhas em texto plano dos usuários.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...