Click Studios’ Passwordstate 安全漏洞通告

关键要点

• 在 Click Studios 的 Passwordstate 企业密码管理器中发现七个安全漏洞。
• 这些漏洞可能导致用户密码被攻击者利用。
• Click Studios 已于上月初发布更新修复了这些漏洞。
• 涉及的关键漏洞包括 CVE-2022-3875，该漏洞允许攻击者绕过 API 认证获取用户信息。
• 使用 Passwordstate 的用户超过 29,000，曾在 2021 年遭遇供应链攻击。

七个安全漏洞在 Click Studios 的 Passwordstate企业密码管理器中被发现，这些漏洞可能被利用来危害用户的密码。根据的报道，ClickStudios 已在上月初发布更新以修复这些由 Modzero 研究人员识别出的漏洞。根据研究人员的说法，拥有 Passwordstate用户名的攻击者能够利用跟踪编号为 CVE-2022-3875 的关键 API 认证绕过漏洞，从而获取用户网站凭证、密码列表和一次性密码的访问权限。

攻击者能够利用个人用户名创建专用的 API 令牌，然后扫描所有密码列表，并使用新的跨站脚本有效载荷来危害受害者的账户。此外，Modzero识别出的其他漏洞被评为低或中等严重性等级。

Passwordstate 已被超过 29,000 名客户使用，因此成为了攻击者的理想目标。2021 年 4 月，Passwordstate曾遭遇过一次，该事件促使公司要求所有用户重置密码。

总结
确保您的 Passwordstate 账户安全，并及时更新您的密码，以防止潜在的攻击。保持警惕，了解并修复安全漏洞对于保护您的敏感信息至关重要。