Haga clic en Studios, el desarrollador de la solución de administración de contraseñas centrada en la empresa PasswordState, dijo que ha publicado actualizaciones de seguridad para abordar una vulnerabilidad de derivación de autenticación en su software.
El problema de alta severidad, que aún no se ha asignado un identificador CVE, se ha abordado en Password State 9.9 (Build 9972), lanzado el 28 de agosto de 2025.
La compañía australiana dijo que solucionó un «desvío potencial de autenticación cuando se usa una URL cuidadosamente elaborada contra la página de acceso de emergencia de los productos del Estado Core PasswordState».
También se incluyen en la última versión mejoras protecciones para salvaguardar contra posibles ataques de clickjacking dirigidos a la extensión de su navegador, si los usuarios terminan visitando sitios comprometidos.
Es probable que las salvaguardas sean en respuesta a los resultados del investigador de seguridad Marek Tóth, quien, a principios de este mes, detalló una técnica llamada Documed Object Model (DOM), que se ha encontrado con la extensión de la extensión a la que se han encontrado varios complementos del navegador del administrador de contraseñas.
«Un solo clic en cualquier lugar en un sitio web controlado por los atacantes podría permitir a los atacantes robar los datos de los usuarios (datos de la tarjeta de crédito, datos personales, credenciales de inicio de sesión, incluido TOTP)», dijo Tóth. «La nueva técnica es general y se puede aplicar a otros tipos de extensiones».
Según Click Studios, el gerente de credenciales es utilizado por 29,000 clientes y 370,000 profesionales de seguridad y TI, que abarcan empresas globales, agencias gubernamentales, instituciones financieras y compañías Fortune 500.
La divulgación se produce más de cuatro años después de que la compañía sufrió una violación de la cadena de suministro que permitió a los atacantes secuestrar el mecanismo de actualización del software para dejar caer malware capaz de recolectar información confidencial de sistemas comprometidos.
Luego, en diciembre de 2022, haga clic en Studios también resolvió múltiples fallas de seguridad en el Estado de contraseña, incluida un derivado de autenticación para la API del Estado de contraseña (CVE-2022-3875, CVSS SCUENT: 9.1) que podría haber sido explotada por un adversario remoto no autorizado para obtener las contraseñas de texto de la asignación de un usuario.