Click Studios corrige vulnerabilidade de bypass de autenticação no Passwordstate

A Click Studios, desenvolvedora da solução de gerenciamento de senhas empresarial Passwordstate, lançou atualizações de segurança para corrigir uma vulnerabilidade de bypass de autenticação em sua página de acesso de emergência.

A falha, que ainda não possui identificador CVE, foi resolvida na versão Passwordstate 9.9 (Build 9972), lançada em 28 de agosto de 2025. A empresa australiana também implementou proteções melhoradas contra possíveis ataques de clickjacking direcionados à sua extensão de navegador.

As melhorias de segurança parecem ser uma resposta às descobertas do pesquisador Marek Tóth, que recentemente detalhou uma técnica chamada "DOM-based extension clickjacking" que afeta vários gerenciadores de senhas.

O Passwordstate é utilizado por 29.000 clientes e 370.000 profissionais de segurança e TI em empresas globais, agências governamentais, instituições financeiras e empresas Fortune 500.

Esta não é a primeira vez que a Click Studios enfrenta problemas de segurança. Em 2021, a empresa sofreu uma violação da cadeia de suprimentos que permitiu que invasores sequestrassem o mecanismo de atualização do software. Em dezembro de 2022, a empresa também resolveu múltiplas falhas de segurança, incluindo outro bypass de autenticação na API do Passwordstate.