Passwordstate Enterprise Password Manager中报告的关键安全缺陷

中披露了多个高严重性漏洞密码强度密码管理解决方案，未经身份验证的远程对手可利用该解决方案获取用户的明文密码。

瑞士网络安全公司modzero AG在本周发布的一份报告中表示：“成功利用该漏洞，未经验证的攻击者可以从实例中过滤密码，覆盖数据库中存储的所有密码，或提升其在应用程序中的权限”。

“一些单独的漏洞可以被链接起来，在Passwordstate主机系统上获得一个外壳，并以明文形式转储所有存储的密码，从一个有效的用户名开始”。

Passwordstate由一家名为Click Studios的澳大利亚公司开发，拥有29000多名客户，370000多名IT专业人员使用。

其中一个缺陷也会影响Chrome web浏览器的Passwordstate版本9.5.8.4。浏览器插件的最新版本为9.6.1.2，于2022年9月7日发布。

modzero AG识别的漏洞列表如下-

• CVE-2022-3875（CVSS评分：9.1）-Passwordstate API的认证旁路
• CVE-2022-3876（CVSS评分：6.5）-通过用户控制的钥匙绕过访问控制
• CVE-2022-3877（CVSS评分：5.7）-每个密码输入的URL字段中都存在存储的跨站点脚本（XSS）漏洞
• 无CVE（CVSS评分：6.0）-使用服务器端对称加密保护密码的机制不足
• 无CVE（CVSS评分：5.3）-使用硬编码凭据列出经审核的事件，如密码请求和通过API更改用户帐户
• 无CVE（CVSS评分：4.3）-密码列表使用保护不足的凭据

利用这些漏洞，知道有效用户名的攻击者可以提取明文保存的密码，覆盖数据库中的密码，甚至提升权限以实现远程代码执行。

此外，Chrome浏览器扩展中发现的不正确授权流（CVSS评分：3.7）可能会被武器化，将所有密码发送到参与者控制的域。

在modzero AG演示的攻击链中，威胁参与者可以伪造管理员帐户的API令牌，并利用XSS漏洞添加恶意密码条目，以获取反向shell并获取实例中托管的密码。

建议用户更新至2022年11月7日发布的Passwordstate 9.6-Build 9653或更高版本，以减轻潜在威胁。

2021 4月，Passwordstate成为一次供应链攻击的受害者，该攻击使攻击者能够利用服务的更新机制在客户的机器上打开后门。