أعلنت شركة Click Studios الأسترالية، المطورة لحل إدارة كلمات المرور المؤسسي Passwordstate، عن إصدار تحديثات أمنية لإصلاح ثغرة خطيرة في المصادقة. الثغرة، التي لم تحصل بعد على معرف CVE، تم إصلاحها في الإصدار Passwordstate 9.9 (Build 9972) بتاريخ 28 أغسطس 2025.
وأوضحت الشركة أن الخلل كان يتمثل في إمكانية تجاوز المصادقة عبر استخدام رابط مُعد بعناية ضد صفحة الوصول الطارئ لمنتجات Passwordstate.
تعزيز الحماية ضد هجمات النقر الخادع
إلى جانب معالجة الثغرة، شمل التحديث الأخير تحسينات إضافية لتعزيز الحماية ضد محاولات النقر الخادع (Clickjacking) التي قد تستهدف الإضافة الخاصة بالمتصفح في حال دخول المستخدمين إلى مواقع مخترقة.
ويأتي ذلك استجابةً لاكتشافات الباحث الأمني مارك توث، الذي كشف هذا الشهر عن تقنية جديدة تعرف بـ DOM-based extension clickjacking، أظهرت أن عدداً من إضافات مديري كلمات المرور معرضة للاستغلال. وأشار توث إلى أن “مجرد نقرة واحدة في موقع يتحكم به المهاجم قد تسمح بسرقة بيانات المستخدم مثل تفاصيل البطاقات الائتمانية والمعلومات الشخصية وبيانات تسجيل الدخول بما في ذلك رموز TOTP”.
قاعدة مستخدمين واسعة وتاريخ من الثغرات
تُستخدم منصة Passwordstate اليوم من قبل أكثر من 29 ألف عميل و370 ألف متخصص في الأمن وتكنولوجيا المعلومات حول العالم، بما يشمل المؤسسات الكبرى، والوكالات الحكومية، والهيئات المالية، وشركات فورتشن 500.
ويأتي هذا الكشف بعد أكثر من أربع سنوات على تعرض الشركة لهجوم اختراق سلسلة توريد مكّن المهاجمين من السيطرة على آلية تحديث البرمجيات وزرع برمجيات خبيثة قادرة على سرقة بيانات حساسة من الأنظمة المصابة.
وفي ديسمبر 2022، عالجت Click Studios عدة ثغرات أخرى في Passwordstate، من بينها ثغرة تجاوز مصادقة في واجهة برمجة التطبيقات API (CVE-2022-3875) بتصنيف خطورة بلغ 9.1، والتي كان يمكن أن يستغلها مهاجم عن بُعد للحصول على كلمات مرور المستخدمين بنصها الصريح.
