広く使用されている Rust 製の Bitwarden 代替サーバー実装である Vaultwarden において、2つの高リスク脆弱性が発見されました。
CVE-2026-27803 および CVE-2026-27802 として追跡されているこれらのセキュリティフローは、侵害されたマネージャーアカウントが認可チェックを回避し、権限を昇格させ、保存されている機密認証情報を露出させることを可能にします。
両方の脆弱性は高度なセキュリティリスク評価を持ち、ネットワークベースの攻撃ベクトルを使用しており、低い複雑性とユーザーとの相互作用を一切必要としません。
これらは現在 Vaultwarden バージョン 1.35.3 に影響を与えており、組織は環境を保護するため、パッチが適用されたバージョン 1.35.4 へ直ちに更新することを強く推奨されています。
コレクション管理の回避(CVE-2026-27803)
GitHub ユーザー dani-garcia により発表された最初の脆弱性は、不適切な認可と権限管理に関わるものです。
セキュアな Vaultwarden 環境では、マネージャーアカウントがパスワードコレクションを変更するには特定の権限が必要です。
しかし、セキュリティテストにより、マネージャーがコレクションへの基本的なアクセス権を持っているだけでも、manage=false 設定で明示的に制限されている場合でも、管理コマンドを実行できることが確認されました。
サーバーに対象を絞ったHTTPリクエストを送信することにより、低レベルのマネージャーアカウントを持つ攻撃者は、意図されたアクセス制御を完全に回避することができます。
認可ブロックをトリガーすることなく、組織的なコレクションを正常に変更したり、ユーザーの割り当てを更新したり、コレクションを完全に削除したりすることができます。
この欠陥は、機密性、完全性、および可用性全体にわたって深刻なセキュリティリスクを作成します。
攻撃者は、機密認証情報を露出させ、重要なアクセス制御設定を改ざんし、重要なエンタープライズパスワードコレクションを削除することにより日常のビジネス運営を中断させることで、アクセス範囲を容易に拡大できます。
一括アクセス権限昇格(CVE-2026-27802)
セキュリティ研究者 odgrso により最初に報告された2番目の高リスク欠陥は、Vaultwarden の一括アクセス API を通じた直接的な権限昇格を可能にします。
グローバルアクセス権限を持たないマネージャーアカウント(access_all=false)は、このエンドポイントを悪用して、自分たちに割り当てられたことのないコレクションをターゲットにすることができます。
一括アクセス API を悪意を持って操作することにより、攻撃者は自分たちの割り当てステータスを false から true に変更し、高度に制限されたエリアへの無権限アクセスを直ちに自分たちに付与することができます。
この脆弱性は、HTTP レベルでの重要な認可ギャップを露出させます。標準的な単一更新 API 呼び出しは、これらの無権限アクションを正常に特定し、ブロックし、標準的な 401 無権限エラーを返しました。
しかし、一括アクセス API はこれらのセキュリティチェックを完全に回避しました。さらに悪いことに、無権限の一括更新が実行されると、通常の API も驚くべきことに変更の受け入れを開始しました。
このエクスプロイトはデータの機密性と完全性に深刻な損害を与え、悪質なアクターが制限されたクレデンシャルを表示し、悪意を持って割り当てを削除することにより合法的なユーザーをロックアウトすることを可能にします。
これらのネットワークベースの脅威の両方を軽減するために、管理者はシステムを Vaultwarden 1.35.4 にパッチする必要があります。
翻訳元: https://gbhackers.com/vaultwarden-vulnerabilities-enable-privilege-escalation/
