CVE-2026-47158 in Vaultwarden
Сводка
по VulDB • 15.07.2026
Vaultwarden — это сервер, совместимый с Bitwarden и написанный на языке Rust. До версии 1.36.0 поток авторизации SSO в Vaultwarden не привязывал параметр состояния OAuth (state), принимаемый через /connect/authorize, к инициирующей браузерной сессии; допускал использование контролируемых атакующим параметров PKCE и оставлял записи SsoAuth без изменений после неудачного обмена токенами. Это позволяло неподтвержденному пользователю вызывать аутентификацию через поставщика идентификации (IdP) и обменивать полученные токены на полностью авторизованную сессию. Данная проблема исправлена в версии 1.36.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.