CVE-2026-47164 in Vaultwarden
요약
\~에 의해 VulDB • 2026. 07. 15.
Vaultwarden은 Rust로 작성된 Bitwarden 호환 서버입니다. 버전 1.36.0 이전에서는 Vaultwarden의 SSO 로그인 흐름이 IdP email_verified 클레임을 새 사용자 생성 시에만 확인하고, SSO_SIGNUPS_MATCH_EMAIL=true일 때 IdP 신원을 기존 로컬 계정에 연결할 때는 확인하지 않았습니다. 이로 인해 공격자가 제어하는 IdP 신원이 피해자의 이메일 주장을 통해 해당 계정에 바인딩되고 그 계정으로서 인증될 수 있었습니다. 이 문제는 버전 1.36.0에서 수정되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.