PT-2022-24556 · Click Studios · Click Studios Passwordstate Browser Extension Chrome+1
Constantin Müller
+2
·
Publicado
2022-12-19
·
Atualizado
2025-08-31
·
CVE-2022-3876
CVSS v3.1
4.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Click Studios Passwordstate (versões afetadas não especificadas)
Extensão do navegador Click Studios Passwordstate para Chrome (versões afetadas não especificadas)
Descrição
Foi encontrada uma falha no componente API, afetando o processamento do arquivo /api/browserextension/UpdatePassword/. A manipulação do argumento
PasswordID leva à contornamento da autorização. O ataque pode ser iniciado remotamente. A vulnerabilidade foi divulgada ao público e pode estar sendo explorada.Recomendações
Atualize o componente afetado para uma versão mais recente.
Como solução temporária, considere restringir o acesso ao endpoint da API /api/browserextension/UpdatePassword/ até que um patch esteja disponível.
Evite usar o argumento
PasswordID no endpoint da API afetado até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Privilege Assignment
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Click Studios Passwordstate
Click Studios Passwordstate Browser Extension Chrome