CVE-2026-47158 in Vaultwarden情報

要約

〜によって VulDB • 2026年07月15日

VaultwardenはRustで書かれたBitwarden互換サーバーです。バージョン1.36.0より前では、VaultwardenのSSO認証フローにおいて、/connect/authorizeが受け取るOAuth stateパラメータが初期化されたブラウザセッションにバインドされておらず、攻撃者が制御可能なPKCEパラメータを許可し、トークン交換の失敗後もSsoAuthレコードが残ったままになっていたため、未認証の攻撃者はIdP(Identity Provider)での認証を引き起こし、完全に認証済みセッションのためのトークンを不正利用することができました。この問題はバージョン1.36.0で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年05月18日

モデレーション

承諾済み

エントリ

VDB-379299

EPSS

0.00000

アクティビティ

非常低い

ソース

Want to stay up to date on a daily basis?

Enable the mail alert feature now!