CVE-2026-47158 in Vaultwarden
Sumário
de VulDB • 15/07/2026
Vaultwarden é um servidor compatível com Bitwarden escrito em Rust. Antes da versão 1.36.0, o fluxo de autorização SSO do Vaultwarden não vinculava o parâmetro OAuth state aceito por /connect/authorize à sessão do navegador que iniciou a solicitação, permitia parâmetros PKCE controlados pelo atacante e mantinha os registros SsoAuth intactos após falhas na troca de tokens, permitindo que um atacante não autenticado induzisse a autenticação no IdP e resgatasse tokens para uma sessão totalmente autenticada. Este problema foi corrigido na versão 1.36.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.