Jan Benninger

**Nome do software vulnerável e versões afetadas** Versões do Click Studios Passwordstate anteriores à 9.6 build 9653 Versões da extensão do Click Studios Passwordstate para o Chrome anteriores à 9.6 build 9653 **Descrição** Foi encontrada uma vulnerabilidade crítica no Click Studios Passwordstate e na extensão do navegador Passwordstate para Chrome, afetando a API do componente. A manipulação leva à contornamento da autenticação por meio de dados supostamente imutáveis, e o ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. Pesquisadores descobriram sete tipos de vulnerabilidades, incluindo problemas relacionados ao contornamento de autenticação e autorização, proteção incorreta por senha, credenciais codificadas e vulnerabilidade XSS. A vulnerabilidade pode permitir que um invasor não autenticado extraia senhas de usuários. Dada a ampla adoção do produto, inclusive por empresas da Fortune 500, o Passwordstate é um alvo frequente de hackers. **Recomendações** Para versões do Click Studios Passwordstate anteriores à 9.6 build 9653, atualize para a versão 9.6 build 9653 ou posterior para resolver o problema. Para as versões do Click Studios Passwordstate Browser Extension Chrome anteriores à 9.6 build 9653, atualize para a versão 9.6 build 9653 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao componente API até que um patch esteja disponível. Evite usar o Click Studios Passwordstate Browser Extension Chrome até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Click Studios Passwordstate (versões afetadas não especificadas) Extensão do navegador Click Studios Passwordstate para Chrome (versões afetadas não especificadas) **Descrição** Foi encontrada uma falha no componente API, afetando o processamento do arquivo /api/browserextension/UpdatePassword/. A manipulação do argumento `PasswordID` leva à contornamento da autorização. O ataque pode ser iniciado remotamente. A vulnerabilidade foi divulgada ao público e pode estar sendo explorada. **Recomendações** Atualize o componente afetado para uma versão mais recente. Como solução temporária, considere restringir o acesso ao endpoint da API /api/browserextension/UpdatePassword/ até que um patch esteja disponível. Evite usar o argumento `PasswordID` no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Click Studios Passwordstate (versões afetadas não especificadas) Click Studios Passwordstate Browser Extension Chrome (versões afetadas não especificadas) **Descrição** Foi identificada uma vulnerabilidade crítica no componente URL Field Handler do Click Studios Passwordstate e da Passwordstate Browser Extension Chrome. A exploração leva a um ataque de script entre sites (XSS). É possível lançar o ataque remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Atualize o componente afetado para uma versão mais recente. Como solução temporária, considere restringir o acesso ao componente URL Field Handler até que um patch esteja disponível. Evite usar o componente URL Field Handler vulnerável no Click Studios Passwordstate e na extensão do navegador Passwordstate para Chrome até que o problema seja resolvido.

**Nome do software vulnerável e versões afetadas** Click Studios Passwordstate (versões afetadas não especificadas) Extensão do navegador Click Studios Passwordstate para Chrome (versões afetadas não especificadas) **Descrição** Foi encontrada uma vulnerabilidade problemática, afetando alguma funcionalidade desconhecida. A manipulação leva ao uso de um algoritmo criptográfico de risco. É necessário acesso local para realizar este ataque. A exploração foi divulgada ao público e pode ser utilizada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Click Studios Passwordstate (versões afetadas não especificadas) Extensão do navegador Click Studios Passwordstate para Chrome (versões afetadas não especificadas) **Descrição** Foi encontrada uma vulnerabilidade problemática no Click Studios Passwordstate e na extensão do navegador Passwordstate para Chrome, afetando uma parte desconhecida. A manipulação leva à exposição de credenciais hard-coded e pode ser iniciada remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** Para resolver o problema, recomenda-se atualizar o componente afetado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Click Studios Passwordstate (versões afetadas não especificadas) Extensão do navegador Click Studios Passwordstate para Chrome (versões afetadas não especificadas) **Descrição** Foi encontrada uma vulnerabilidade no Click Studios Passwordstate e na Extensão do Navegador Passwordstate para Chrome, classificada como problemática. Esta falha afeta código desconhecido, levando a credenciais insuficientemente protegidas. O ataque pode ser iniciado remotamente. A exploração foi divulgada ao público e pode estar em uso. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Click Studios Passwordstate (versões afetadas não especificadas) Extensão do navegador Click Studios Passwordstate para Chrome (versões afetadas não especificadas) **Descrição** Uma falha crítica afeta o componente de provisionamento da extensão do navegador, levando a uma autorização incorreta. O ataque pode ser iniciado remotamente. Estima-se que um número desconhecido de dispositivos possa estar afetado. **Recomendações** Para resolver o problema, atualize o componente afetado. Como solução alternativa temporária, considere restringir o acesso ao componente de provisionamento da extensão do navegador até que um patch esteja disponível.