Passwordstate dev urges users to patch auth bypass vulnerability

Alerte de Sécurité Critique pour Passwordstate

Click Studios, l’éditeur du gestionnaire de mots de passe d’entreprise Passwordstate, a émis un avertissement urgent à ses utilisateurs pour qu’ils appliquent une mise à jour corrigeant une vulnérabilité de contournement d’authentification de gravité élevée.

Points Clés :

• Nature de la Vulnérabilité : Un défaut de sécurité critique permet à des attaquants d’utiliser une URL spécialement conçue sur la page d’accès d’urgence du produit pour contourner l’authentification et accéder à la section d’administration de Passwordstate.
• Impact Potentiel : Le contournement de l’authentification pourrait donner accès à la section d’administration, potentiellement compromettant la gestion des identifiants et autres données sensibles stockées dans le gestionnaire.
• Diffusion et Gravité : Cette faille est considérée comme de gravité élevée, bien qu’aucun identifiant CVE spécifique n’ait été communiqué pour le moment. Passwordstate est utilisé par plus de 370 000 professionnels de l’informatique dans 29 000 entreprises à travers le monde.
• Contexte Historique : Il est rappelé que Passwordstate a déjà été la cible d’une attaque par la chaîne d’approvisionnement en avril 2021, où des attaquants avaient compromis le mécanisme de mise à jour pour distribuer un logiciel malveillant voleur d’informations.

Vulnérabilités :

• Une faille de contournement d’authentification (pas de CVE mentionné) via une URL spécialement conçue sur la page d’accès d’urgence.

Recommandations :

• Mise à Jour Immédiate : Installer la version Passwordstate 9.9 Build 9972 dès que possible.
• Solution de Contournement Temporaire : Pour ceux qui ne peuvent pas mettre à jour immédiatement, il est possible de configurer l’adresse IP autorisée pour l’accès d’urgence dans les Paramètres Système -> Plages IP autorisées. Cependant, cette mesure est considérée comme une solution partielle et à court terme.

Source