根據 BleepingComputer 的報導，企業密碼管理工具 Passwordstate 的開發商 Click Studios 近日發出緊急警告，要求其用戶立即將軟體更新至最新版本（9.9 Build 9972），以修補一個嚴重的高危險性身份驗證繞過漏洞。這個漏洞對於全球數以萬計的企業組織，特別是那些依賴 Passwordstate 管理敏感資訊的機構，構成了重大威脅。

此漏洞允許攻擊者透過在「緊急存取（Emergency Access）」頁面使用一個特製的 URL，即可繞過正常的身份驗證程序，直接進入 Passwordstate 的後台管理區。這意味著未經授權的個人，可能在沒有任何憑證的情況下，獲得系統的完整控制權。這對用戶的機密資料構成極高的安全風險。Passwordstate 擁有超過 29,000 家企業客戶，其中包括政府機構和《財富》500 強企業，共計有超過 37 萬名 IT 專業人士使用，因此此漏洞的影響範圍相當廣泛。

Click Studios 除了強烈建議用戶盡快升級之外，也為暫時無法進行更新的用戶提供了一個臨時解決方案。用戶可以設定其網頁伺服器的「緊急存取允許 IP 位址」，以此來限制存取權限。然而，開發商也明確指出，這僅是部分修補，無法徹底解決問題，因此強烈建議用戶最終還是必須完成完整的版本升級。

這並非 Passwordstate 首次面臨資安危機。報導也提及，早在 2021 年 4 月，該公司的更新機制就曾遭到駭客入侵，導致惡意軟體被用來竊取用戶資訊。當時，Click Studios 建議所有受影響的客戶重設其資料庫中儲存的所有密碼。此次新漏洞的出現，再次凸顯了密碼管理軟體作為關鍵基礎設施，其安全性至關重要。企業應持續關注其供應商發布的最新安全公告，並建立一套快速應對漏洞的流程，以確保其資料資產的安全。此事件再次提醒我們，沒有任何軟體是百分之百安全的，持續的監控與及時的修補是維持網路安全的第一道防線。

資料來源：https://www.bleepingcomputer.com/news/security/passwordstate-dev-urges-users-to-patch-auth-bypass-vulnerability-as-soon-as-possible/