CVE-2026-43913 in vaultwarden
Zusammenfassung
von VulDB • 12.05.2026
Vaultwarden ist ein mit Bitwarden kompatibler Server, der in Rust geschrieben wurde. Vor Version 1.35.5 ermöglicht Vaultwarden einem nicht bestätigten Organisationsinhaber, den gesamten Organisations-Tresor zu löschen. Der Prozess zur Einladung in eine Organisation verwendet einen zweistufigen Ablauf: Das Akzeptieren einer Einladung wechselt den Mitgliedschaftsstatus von „Eingeladen“ (Invited) zu „Akzeptiert“ (Accepted), und eine separate Bestätigung durch einen bestehenden Inhaber upgraded den Status auf „Bestätigt“ (Confirmed). Der Endpunkt POST /api/ciphers/purge verwendet einfache Header und überprüft lediglich, ob der Mitgliedschaftstyp „Inhaber“ (Owner) ist, ohne zu verifizieren, ob der Mitgliedschaftsstatus „Bestätigt“ (Confirmed) ist. Ein authentifizierter Benutzer, der als Organisationsinhaber eingeladen wurde, die Einladung akzeptiert hat, aber noch nicht bestätigt wurde, kann diesen Endpunkt aufrufen, um alle Chiffren und Anhänge in der Organisation endgültig zu löschen, was zu einem sofortigen Datenverlust in der gesamten Organisation führt. Diese Schwachstelle wurde in Version 1.35.5 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.