CVE-2026-47158 in Vaultwardeninfo

Zusammenfassung

von VulDB • 15.07.2026

Vaultwarden ist ein mit Bitwarden kompatibler Server, der in Rust geschrieben wurde. Vor Version 1.36.0 verknüpfte der SSO-Autorisierungsfluss von Vaultwarden den vom Endpunkt /connect/authorize akzeptierten OAuth-State-Parameter nicht mit der initierenden Browsersitzung, erlaubte angreiferkontrollierte PKCE-Parameter und ließ SsoAuth-Einträge nach fehlgeschlagenem Tokenaustausch intakt. Dies ermöglichte es einem unauthentifizierten Angreifer, eine Authentifizierung durch den Identitätsanbieter (IdP) zu erzwingen und Tokens für eine vollständig authentifizierte Sitzung einzulösen. Dieses Problem wurde in Version 1.36.0 behoben.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

GitHub M

Reservieren

18.05.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379299

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!