澳大利亚软件公司Click Studios日前警告,旗下企业级密码管理器Passwordstate存在一个高危身份验证绕过漏洞,黑客可以利用该漏洞获取系统管理员权限并访问企业敏感凭证。公司敦促所有客户尽快升级到最新9.9 build 9972版本以防范风险。
据Click Studios通报,该漏洞可通过特制URL绕过认证机制,直接进入Passwordstate的紧急访问页面,并进一步渗透到管理区。此次补丁还增强了浏览器扩展的安全性,以防止浏览器被劫持时发生Clickjacking攻击。
Passwordstate拥有约2.9万家客户及37万名安全专业用户,是众多企业用于集中保护核心机密的工具。早在四年前,该产品曾因自动更新机制遭黑客入侵引发广泛关注——攻击者趁机推送嵌有内存恶意代码的更新包,给企业信息安全带来严重威胁。
Click Studios未透露更多漏洞细节,目前尚无CVE编号,但建议所有用户紧急检查与更新相关系统。