Click Studios تُصلح ثغرة تجاوز المصادقة في صفحة الوصول الطارئ لـ Passwordstate

المايسترو نيرو - قسم الثغرات / الأمن المؤسسي

أعلنت شركة Click Studios، مطورة حل إدارة كلمات المرور Passwordstate المخصص للشركات، أنها أصدرت تحديثات أمنية لمعالجة ثغرة تجاوز المصادقة في برنامجها.

وقد تم إصلاح هذه المشكلة، التي لم يتم تعيين معرف CVE لها بعد، في إصدار Passwordstate 9.9 (Build 9972)، والذي تم إصداره في 28 أغسطس 2025.

وقالت الشركة الأسترالية إنها أصلحت "ثغرة محتملة في تجاوز المصادقة عند استخدام عنوان URL تم إعداده بعناية ضد صفحة الوصول الطارئ في منتجات Passwordstate الأساسية".

كما تضمن الإصدار الأحدث حمايات محسّنة للدفاع ضد هجمات التصيد الاحتيالي (clickjacking) المحتملة التي تستهدف امتداد المتصفح الخاص بها، في حال قام المستخدمون بزيارة مواقع مخترقة.

ومن المرجح أن تكون هذه الحمايات رداً على اكتشافات الباحث الأمني ماريك توث، الذي كشف مؤخرًا عن تقنية تُعرف باسم التصيد الاحتيالي للامتداد القائم على نموذج كائن المستند (DOM-based extension clickjacking)، والتي وُجد أن العديد من إضافات مديري كلمات المرور في المتصفح عرضة لها.

وأوضح توث: "يمكن أن تسمح نقرة واحدة فقط في أي مكان على موقع ويب يتحكم فيه المهاجم للمهاجمين بسرقة بيانات المستخدمين (تفاصيل بطاقة الائتمان، البيانات الشخصية، بيانات اعتماد تسجيل الدخول، بما في ذلك TOTP)".

ووفقًا لشركة Click Studios، يتم استخدام مدير بيانات الاعتماد هذا من قبل 29,000 عميل و370,000 من المتخصصين في الأمن وتكنولوجيا المعلومات، ويشمل عملاء من الشركات العالمية ووكالات الحكومة والمؤسسات المالية وشركات فورتشن 500.

يأتي هذا الإفصاح بعد أكثر من أربع سنوات من تعرض الشركة لخرق في سلسلة التوريد، مكّن المهاجمين من اختطاف آلية تحديث البرنامج بهدف تثبيت برمجيات خبيثة قادرة على جمع المعلومات الحساسة من الأنظمة المخترقة.

ثم في ديسمبر 2022، أصلحت شركة Click Studios أيضًا عدة ثغرات أمنية في Passwordstate، من بينها ثغرة تجاوز مصادقة لواجهة برمجة تطبيقات (API) Passwordstate (CVE-2022-3875، بدرجة CVSS: 9.1) كان يمكن لمهاجم بعيد غير مصادق عليه استغلالها للحصول على كلمات مرور المستخدمين كنص عادي.

آخر تحديث: 7 أكتوبر 2025