CVE-2026-43913 in vaultwardenالمعلومات

الملخص

بحسب VulDB • 23/05/2026

Vaultwarden هو خادم متوافق مع Bitwarden ومكتوب بلغة Rust. قبل الإصدار 1.35.5، كان Vaultwarden يسمح لمالك منظمة غير مؤكد بحذف خزان المنظمة بالكامل. تستخدم عملية دعوة المنظمة آلية من خطوتين: حيث يؤدي قبول الدعوة إلى تغيير حالة العضوية من "مدعو" (Invited) إلى "مقبول" (Accepted)، وتقوم تأكيد منفصل من قبل مالك حالي بترقيتها إلى "مؤكد" (Confirmed). يستخدم نقطة النهاية POST /api/ciphers/purge رؤوس (Headers) عادية ولا يتحقق إلا من أن نوع العضوية هو "مالك" دون التحقق من أن حالة العضوية هي "مؤكد". يمكن لمستخدم مصادق عليه تم دعوتُه كمالك لمنظمة وقبول الدعوة ولكن لم يتم تأكيد وضعه بعد، استدعاء هذه النقطة النهائية لحذف جميع الأكواد المشفرة (ciphers) والمرفقات في المنظمة بشكل دائم، مما يتسبب في فقدان فوري للبيانات على مستوى المنظمة. تم إصلاح هذا الثغرة في الإصدار 1.35.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

04/05/2026

إفشاء

12/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362883

CPE

جاهز

CWE

CWE-863 (مؤكد)

CVSS

8.1 (CNA)

EPSS

0.00045

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43913
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43913
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43913/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!