Passwordstate企业口令管理器中发现了严重漏洞

据外媒报道，网络安全公司Modzero研究人员发现，Click Studios制作的Passwordstate企业口令管理器存在严重漏洞。研究人员发现了身份验证和授权绕过、不正确的密码保护、硬编码凭据和存储的跨站点脚本(XSS)漏洞等问题。其中被追踪为CVE-2022-3875的API身份验证绕过漏洞最为严重，它允许未经身份验证的攻击者绕过API的身份验证直接访问用户的网站口令、一次性口令(OTP)、口令列表和其他敏感数据。目前，该公司已修补了已知漏洞，并建议其用户重置所有口令。