0x00 漏洞概述
PasswordState是澳大利亞Click Studios公司的一種本地企業密碼管理解決方案,允許其使用者儲存、訪問和共享敏感的密碼資訊。
12月19日,研究人員公開披露了Passwordstate軟體中的多個安全漏洞,成功利用這些漏洞可能導致敏感資訊洩露、許可權提升或其它惡意操作。
0x01 漏洞詳情
其中3個已經分配CVE的漏洞詳情如下:
CVE | 類型 | 評分 | 說明 |
CVE-2022-3875 | API驗證繞過 | 9.1 | 該漏洞影響元件 API 中的某些程式碼,已知影響了Click Studios Passwordstate和Passwordstate Browser Extension Chrome,該漏洞已經公開披露並可能被利用。 |
CVE-2022-3876 | 通過使用者控制的金鑰繞過授權 | 6.5 | 該漏洞影響元件API的/api/browserextension/UpdatePassword/檔案的一些未知處理,參數PasswordID的操作會導致繞過授權。已知影響了Click Studios Passwordstate和Passwordstate Browser Extension Chrome,該漏洞已經公開披露並可能被利用。 |
CVE-2022-3877 | 跨站腳本漏洞(XSS) | 5.7 | 元件URL欄位處理程序的未知函數中存在儲存型XSS漏洞。已知影響了Click Studios Passwordstate和Passwordstate Browser Extension Chrome,該漏洞已經公開披露並可能被利用。 |
另外4個暫未分配CVE-ID的漏洞包括:
伺服器端對稱加密導致儲存密碼保護失敗(CVSS評分6.0);
為API使用硬編碼的緊急憑證(CVSS評分5.3);
密碼列表的憑據保護不足(CVSS評分4.3);
不正確的授權允許惡意使用者控制的瀏覽器擴展設置(CVSS評分3.7)。
惡意使用者可以組合利用這些漏洞在Passwordstate 主機系統上獲得一個shell,並以明文形式轉儲所有儲存的密碼、覆蓋資料庫中的密碼,甚至提升許可權以實現遠端程式碼執行。
影響範圍
Passwordstate 9.5 – Build 9583及之前版本
Passwordstate Browser Extension Chrome版本9.5.8.4
0x02 安全建議
目前這些漏洞已經修復,受影響使用者可升級到以下版本:
Passwordstate 9.6 – Build 9653或更高版本;
下載連結:
https://www.clickstudios.com.au/passwordstate-changelog.aspx
Passwordstate Browser Extension Chrome 9.6.1.2或更高版本
下載連結:
https://chrome.google.com/webstore/detail/passwordstate/appojfilknpkghkebigcdkmopdfcjhim
0x03 參考連結
https://www.modzero.com/modlog/archives/2022/12/19/better_make_sure_your_password_manager_is_secure/index.html
https://www.modzero.com/static/MZ-22-03_Passwordstate_Security_Disclosure_Report-v1.0.pdf
https://thehackernews.com/2022/12/critical-security-flaw-reported-in.html
0x04 版本資訊
版本 | 日期 | 修改內容 |
V1.0 | 2022-12-23 | 首次發佈 |