Click Studios Patches Passwordstate Authentication Bypass Vulnerability in Emergency Access Page

Mise à jour de sécurité pour Passwordstate : Contournement d’authentification corrigé

Click Studios a publié des mises à jour de sécurité pour sa solution de gestion de mots de passe d’entreprise, Passwordstate. Ces mises à jour corrigent une vulnérabilité critique de contournement d’authentification qui permettait l’accès à la page d’accès d’urgence via une URL spécialement conçue. La nouvelle version, Passwordstate 9.9 (Build 9972), a été déployée le 28 août 2025.

En outre, des mesures de protection renforcées ont été intégrées pour contrer les attaques de “clickjacking” visant l’extension de navigateur, suite aux découvertes d’un chercheur en sécurité concernant la vulnérabilité des extensions de gestionnaires de mots de passe à cette technique.

Points clés :

• Correction d’une vulnérabilité de contournement d’authentification dans la page d’accès d’urgence de Passwordstate.
• Amélioration des protections contre les attaques de “clickjacking” sur l’extension de navigateur.
• Passwordstate est utilisé par 29 000 clients et 370 000 professionnels de la sécurité et de l’informatique.

Vulnérabilités :

• Contournement d’authentification (page d’accès d’urgence) : Non attribuée de CVE. Sévérité : Élevée.
• Historique : Mention d’une précédente vulnérabilité d’API avec CVE-2022-3875 (CVSS 9.1) corrigée en décembre 2022, permettant l’obtention de mots de passe en clair.

Recommandations :

• Mettre à jour Passwordstate vers la version 9.9 (Build 9972) ou une version ultérieure pour bénéficier des correctifs de sécurité.

Source