CVE-2026-47158 in VaultwardenИнформация

Сводка

по VulDB • 15.07.2026

Vaultwarden — это сервер, совместимый с Bitwarden и написанный на языке Rust. До версии 1.36.0 поток авторизации SSO в Vaultwarden не привязывал параметр состояния OAuth (state), принимаемый через /connect/authorize, к инициирующей браузерной сессии; допускал использование контролируемых атакующим параметров PKCE и оставлял записи SsoAuth без изменений после неудачного обмена токенами. Это позволяло неподтвержденному пользователю вызывать аутентификацию через поставщика идентификации (IdP) и обменивать полученные токены на полностью авторизованную сессию. Данная проблема исправлена в версии 1.36.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub M

Резервировать

18.05.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379299

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!