CVE-2026-43913 in vaultwardenИнформация

Сводка

по VulDB • 12.05.2026

Vaultwarden — это сервер, совместимый с Bitwarden, написанный на языке Rust. До версии 1.35.5 Vaultwarden позволял неподтвержденному владельцу организации очищать весь хранилище организации. Процесс приглашения в организацию использует двухэтапный процесс: принятие приглашения переводит членство из статуса «Приглашен» (Invited) в статус «Принято» (Accepted), а отдельное подтверждение существующим владельцем переводит его в статус «Подтверждено» (Confirmed). Конечная точка POST /api/ciphers/purge использует обычные заголовки (Headers) и проверяет только то, что тип членства является «Владелец» (Owner), не проверяя при этом, что статус членства является «Подтверждено» (Confirmed). Аутентифицированный пользователь, который был приглашен как владелец организации, принял приглашение, но еще не прошел подтверждение, может вызвать эту конечную точку для жесткого удаления всех шифротекстов и вложений в организации, что приводит к немедленной потере данных на уровне всей организации. Эта уязвимость исправлена в версии 1.35.5.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

04.05.2026

Раскрытие

12.05.2026

Модерация

принято

Вход

VDB-362883

CPE

готов

CWE

CWE-863 (Подтверждённый)

CVSS

8.1 (CNA)

EPSS

0.00045

KEV

Нет

Деятельности

Низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-43913
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-43913
CVE Details	https://www.cvedetails.com/cve/CVE-2026-43913/

◂ Предыдущий Обзор Далее ▸

Might our Artificial Intelligence support you?

Check our Alexa App!