Vaultwarden — неофициальный сервер, совместимый с Bitwarden, написанный на Rust и ранее известный как bitwarden_rs. Версия Vaultwarden 1.34.3 и более ранние подвержены обходу 2FA при выполнении защищенных действий. Злоумышленник, получивший аутентифицированный доступ к учетной записи пользователя, может использовать этот обход для выполнения защищенных действий, таких как доступ к ключу API пользователя или удаление хранилища пользователя и организаций, администратором/владельцем которых пользователь является.
Эта проблема исправлена в версии 1.35.0.
Показать оригинальное описание (EN)
Vaultwarden is an unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs. Vaultwarden versions 1.34.3 and prior are susceptible to a 2FA bypass when performing protected actions. An attacker who gains authenticated access to a user’s account can exploit this bypass to perform protected actions such as accessing the user’s API key or deleting the user’s vault and organisations the user is an admin/owner of . This issue has been patched in version 1.35.0.
Характеристики атаки
Последствия
Строка CVSS v4.0