Haga clic en Studios, el desarrollador de la opción de suministro de contraseñas centrada en la empresa PasswordState, dijo que ha publicado actualizaciones de seguridad para tocar una vulnerabilidad de derivación de autenticación en su software.
El problema de ingreso severidad, que aún no se ha asignado un identificador CVE, se ha abordado en Password State 9.9 (Build 9972), enérgico el 28 de agosto de 2025.
La compañía australiana dijo que solucionó un “desvío potencial de autenticación cuando se usa una URL cuidadosamente elaborada contra la página de camino de emergencia de los productos del Estado Core PasswordState”.
Además se incluyen en la última traducción mejoras protecciones para preservar contra posibles ataques de clickjacking dirigidos a la extensión de su navegador, si los usuarios terminan visitando sitios comprometidos.
Es probable que las salvaguardas sean en respuesta a los resultados del investigador de seguridad Marek Tóth, quien, a principios de este mes, detalló una técnica señal Documed Object Model (DOM), que se ha enemigo con la extensión de la extensión a la que se han enemigo varios complementos del navegador del administrador de contraseñas.
“Un solo clic en cualquier empleo en un sitio web controlado por los atacantes podría permitir a los atacantes robar los datos de los usuarios (datos de la polímero de crédito, datos personales, credenciales de inicio de sesión, incluido TOTP)”, dijo Tóth. “La nueva técnica es caudillo y se puede aplicar a otros tipos de extensiones”.
Según Click Studios, el administrador de credenciales es utilizado por 29,000 clientes y 370,000 profesionales de seguridad y TI, que abarcan empresas globales, agencias gubernamentales, instituciones financieras y compañías Fortune 500.
La divulgación se produce más de cuatro primaveras posteriormente de que la compañía sufrió una violación de la sujeción de suministro que permitió a los atacantes secuestrar el mecanismo de aggiornamento del software para dejar caer malware capaz de recoger información confidencial de sistemas comprometidos.
Luego, en diciembre de 2022, haga clic en Studios incluso resolvió múltiples fallas de seguridad en el Estado de contraseña, incluida un derivado de autenticación para la API del Estado de contraseña (CVE-2022-3875, CVSS SCUENT: 9.1) que podría activo sido explotada por un adversario remoto no competente para obtener las contraseñas de texto de la asignación de un legatario.
