Des chercheurs ont découvert des failles critiques dans le gestionnaire de mots de passe professionnel Passwordstate, créé par la société australienne Click Studios, qui pourraient permettre à un attaquant non authentifié d'accéder aux informations d'identification des utilisateurs.

Les failles de sécurité ont été révélées au développeur en août par la société suisse de cybersécurité Modzero, et elles ont été corrigées avec l'introduction de la version 9.6 build 9653.

Passwordstate présente un total de sept types différents de vulnérabilités comprennent celles qui permettent de contourner l'authentification et l'autorisation, une mauvaise protection des mots de passe, des informations d'identification codées en dur et une vulnérabilité XSS (cross-site scripting) stockée.

Le niveau de gravité du contournement de l'authentification de l'API identifié par CVE-2022-3875 est "critique". Un attaquant non authentifié peut accéder aux mots de passe du site web d'un utilisateur, aux mots de passe à usage unique (OTP), aux listes de mots de passe et à d'autres secrets en utilisant uniquement le login de l'utilisateur.

Les autres failles de sécurité ont reçu une note "moyenne" ou "faible", bien que, combinées à d'autres vulnérabilités, elles puissent constituer une menace sérieuse.

Les chercheurs de Modzero ont montré comment un attaquant connaissant le nom d'utilisateur de la victime pouvait créer un faux jeton d'API pour cet utilisateur, rechercher dans toutes les listes de mots de passe, ajouter une charge utile XSS au compte de la victime via une nouvelle entrée de mot de passe (la charge utile est exécutée lorsque l'utilisateur consulte l'entrée), obtenir un shell inverse sur le système, et décrypter et vider tous les mots de passe dans l'instance Passwordstate compromise.

Il n'est pas étonnant que Passwordstate soit une cible tentante pour les acteurs de la menace. Click Studios affirme que son produit est utilisé par plus de 29 000 clients, dont de nombreuses entreprises du Fortune 500.