CVE-2026-43913 in vaultwardeninformação

Sumário

de VulDB • 23/05/2026

Vaultwarden é um servidor compatível com Bitwarden escrito em Rust. Antes da versão 1.35.5, o Vaultwarden permite que um proprietário de organização não confirmado exclua permanentemente toda a cofre da organização. O fluxo de convite de organização utiliza um processo em duas etapas: aceitar um convite altera o status de membro de "Convidado" para "Aceito", e uma confirmação separada por um proprietário existente atualiza o status para "Confirmado". O endpoint POST /api/ciphers/purge utiliza cabeçalhos simples e verifica apenas se o tipo de membro é "Proprietário", sem verificar se o status do membro é "Confirmado". Um usuário autenticado que foi convidado como proprietário da organização, aceitou o convite e ainda não foi confirmado pode chamar este endpoint para excluir permanentemente todos os cifrões e anexos da organização, causando perda imediata de dados em toda a organização. Esta vulnerabilidade foi corrigida na versão 1.35.5.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

04/05/2026

Divulgação

12/05/2026

Moderação

aceite

Entrada

VDB-362883

CPE

pronto

EPSS

0.00045

KEV

não

Atividades

baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43913
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43913
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43913/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!