Phát hiện lỗ hổng nghiêm trọng trong ứng dụng quản lý mật khẩu Passwordstate

Chủ nhật, 02/04/2023 16:57

Các nhà nghiên cứu vừa phát hiện một số lỗ hổng trong trình quản lý mật khẩu doanh nghiệp Passwordstate, có thể bị tin tặc khai thác để đánh cắp mật khẩu của người dùng mà không cần xác thực.

 Cụ thể, các nhà nghiên cứu đã phát hiện tổng cộng 7 loại lỗ hổng trong Passwordstate, bao gồm các vấn đề liên quan đến xác thực và bỏ qua cấp quyền, bảo vệ mật khẩu không đúng cách, thông tin xác thực bị mã hóa cứng và lỗ hổng XSS.

20230504-pg7.jpg


Trong đó, lỗ hổng bỏ qua xác thực API có mã là CVE-2022-3875, được đánh giá mức độ nghiêm trọng. Lỗ hổng cho phép kẻ tấn công bỏ qua xác thực cho API Passwordstate, truy cập vào mật khẩu trang web, OTP, danh sách mật khẩu và các bí mật khác của người dùng, chỉ cần biết username của họ.

Các lỗ hổng còn lại được xếp mức độ "trung bình" hoặc "thấp", nhưng vẫn có thể gây rủi ro đáng kể khi kết hợp với các lỗ hổng khác.

Người dùng được khuyến cáo nên cập nhật lên phiên bản Passwordstate 9.6 – Build 9653 phát hành vào ngày 7/11/2022 hoặc các phiên bản mới hơn để giảm thiểu các mối đe dọa tiềm ẩn.

Passwordstate, được phát triển bởi một công ty Úc có tên là Click Studios, có hơn  29 nghìn khách hàng và 370 nghìn chuyên gia CNTT sử dụng.

Đây không phải lần đầu tiên ứng dụng Passwordstate bị tin tặc nhắm mục tiêu. Vào tháng 4/2021, công ty đã kêu gọi người dùng đặt lại tất cả mật khẩu sau khi một bản cập nhật bị nhiễm mã độc trong cuộc tấn công chuỗi cung ứng./.

theo ictvietnam.vn
banner
icon

Cổng dịch vụ công
Quốc Gia

Những thông tin thủ tục hành chính
khai báo online tại đây

Xem chi tiết icon
icon

Chính sách
pháp luật Việt Nam

Cập nhật thông tin, chính sách
pháp luật Việt Nam

Xem chi tiết icon

Cổng thông tin điện tử của các đơn vị thuộc Bộ

Doanh nghiệp

Top