Inicio Centro de ayuda para administradores

Aviso de seguridad: Problema de Clickjacking en el Diálogo de Clave de Acceso

Para todos los planes

Aviso de seguridad: Problema de Clickjacking en el Diálogo de Clave de Acceso

Printer icon
Publicado el 9 de agosto de 2025

Descripción general

Dashlane ha solucionado un problema de clickjacking que, bajo condiciones específicas, podría haber permitido a un atacante manipular a un usuario para proceder inadvertidamente con un ingreso de clave de acceso en un dominio legítimo.

El problema fue reportado a Dashlane por un investigador de seguridad externo el 28 de julio de 2025 y solucionado para todos los clientes el 1 de agosto de 2025, en la versión v6.2531.1 de Dashlane.

Dashlane no ha recibido informes de que este problema haya sido explotado.

Productos afectados

Este problema afecta a todas las versiones de la extensión de navegador de Dashlane anteriores a la v6.2531.1 (1 de agosto de 2025). La extensión de navegador de Dashlane v6.2531.1 impide que se pueda explotar este problema.

Las aplicaciones móviles de Dashlane no se ven afectadas por este problema.

Acciones recomendadas

Si usa una versión afectada de la extensión de navegador de Dashlane, actualice a la versión más reciente.

Descripción

Dashlane admite la autenticación con clave de acceso, lo que permite a un usuario guardar claves de acceso en Dashlane y usarlas para ingresar al dominio de terceros vinculado a la clave de acceso.

Si un usuario visitó un sitio web legítimo para el cual tenía una clave de acceso y ese dominio era vulnerable a la inyección de JavaScript, el problema podría permitir que un atacante superponga un elemento de página HTML sobre el cuadro de diálogo de ventana emergente de inicio de sesión con clave de acceso de Dashlane. Si el usuario hacía clic en el elemento de página del atacante, el usuario avanzaría sin saberlo con un ingreso con clave de acceso en ese sitio web legítimo.

Explotar este problema es complejo y requiere que el atacante:

  1. Encuentre un dominio legítimo de un tercero para el cual un usuario de Dashlane tenía una clave de acceso. Las claves de acceso son específicas de dominios individuales, y el cuadro de diálogo de Dashlane para iniciar sesión con clave de acceso (ventana emergente) aparecería solo en un dominio en el que se haya registrado una clave de acceso.
  2. Este dominio legítimo de un tercero necesitaría tener una vulnerabilidad de inyección de JavaScript, como XSS (Cross-Site Scripting), que permitiera al atacante inyectar sus propios elementos de página en el sitio web.

Impacto

Si un usuario inició sesión en el dominio legítimo pero vulnerable, el atacante podría entonces explotar las vulnerabilidades de ese sitio web para obtener acceso no autorizado a la cuenta del usuario en ese sitio web. En este escenario, las claves de acceso en sí mismas permanecerían seguras y no serían expuestas.

Agradecimientos

El problema fue reportado a Dashlane por Marek Tóth. Agradecemos a Marek por informar este problema y por su asociación mientras se resolvió este problema.

Tecnología de Zendesk