Enterprise odaklı şifre yönetimi çözümü PasswordState’in geliştiricisi Click Studios, yazılımında bir kimlik doğrulama baypas güvenlik açığını ele almak için güvenlik güncellemeleri yayınladığını söyledi.
Henüz bir CVE tanımlayıcısı atanmamış olan sorun, 28 Ağustos 2025’te piyasaya sürülen PasswordState 9.9’da (Build 9972) ele alınmıştır.
Avustralya şirketi, “Core PasssorState ürünlerinin acil durum erişim sayfasına karşı özenle hazırlanmış bir URL kullanırken potansiyel bir kimlik doğrulama bypass’ı düzelttiğini söyledi.
Ayrıca, kullanıcıların tehlikeye atılan siteleri ziyaret etmesi durumunda, tarayıcı uzantısına yönelik potansiyel tıklama saldırılarına karşı korumak için en son sürüme de geliştirilmiş korumalar da dahildir.
Güvenlikler, bu ayın başlarında, birkaç şifre yöneticisi tarayıcı eklentisinin savunmasız bulunduğu belge nesnesi modeli (DOM) bazlı uzantı tıklama clickjacking adlı bir tekniği detaylandıran güvenlik araştırmacısı Marek Tóth’un bulgularına yanıt olarak muhtemeldir.
Tóth, “Saldırgan kontrollü bir web sitesinde herhangi bir yerde tek bir tıklama, saldırganların kullanıcıların verilerini (kredi kartı detayları, kişisel veriler, TOTP dahil giriş bilgileri) çalmasına izin verebilir.” Dedi. “Yeni teknik geneldir ve diğer uzatma türlerine uygulanabilir.”
Click Studios’a göre, kimlik yöneticisi 29.000 müşteri ve 370.000 güvenlik ve BT profesyonelleri tarafından küresel işletmeler, devlet kurumları, finans kurumları ve Fortune 500 şirketlerini kapsamaktadır.
Açıklama, şirketin, uzlaşmış sistemlerden hassas bilgileri hasat edebilecek kötü amaçlı yazılımları düşürmek için saldırganların yazılımın güncelleme mekanizmasını ele geçirmesini sağlayan bir tedarik zinciri ihlali yaşadıktan dört yıl sonra gerçekleşiyor.
Aralık 2022’de, Click Studios, PasswordState’in API’sı (CVE-2022-3875, CVSS Puanı: 9.1) için bir kimlik doğrulama baypası da dahil olmak üzere, bir kullanıcının düzlük parolalarını elde etmek için bir kimlik doğrulama baypası da dahil olmak üzere birden fazla güvenlik kusurunu çözdü.