Специалисты компании BI.ZONE выявили две уязвимости высокого уровня опасности в программном обеспечении Vaultwarden. Это ПО представляет собой бесплатное хранилище данных с открытым исходным кодом. API Vaultwarden совместим с менеджером паролей Bitwarden. В 2025 году это решение использует каждая десятая российская компания, рассказали информационной службе Хабра в пресс‑службе BI.ZONE.
Уязвимостям присвоены идентификаторы CVE (CVE-2025–24 364 и CVE-2025–24 365). Обе проблемы затрагивают версии ПО до 1.32.7 и исправлены в версии 1.33.0.
CVE-2025–24 365 имеет 7,2 из 10 по шкале оценки уязвимости и связана с механизмом проверки прав доступа. Например, если злоумышленник получил доступ к данным организации с ограниченными правами, он может создать другую организацию, где по умолчанию становится администратором. Затем он отправляет запрос на эндпоинты, указывая в пути идентификатор организации с ограниченными правами, а в GET‑параметре — идентификатор новой организации. В результате злоумышленник получает права администратора в атакуемой организации.
CVE-2025–24 364 имеет 8,1 из 10 по шкале оценки уязвимости и относится к уязвимостям удаленного выполнения кода (RCE). При наличии доступа к панели администратора атакующий может запускать произвольные команды на сервере. Хакер также может перехватить управление системой или её компонентами, а также украсть конфиденциальные данные.
По словам руководителя группы исследования уязвимостей BI.ZONE Павла Блинникова, поскольку в Vaultwarden хранятся секреты от других внутренних сервисов, при его взломе злоумышленник может узнать и их. Если ПО автоматически получает секреты через API, злоумышленник получит доступ к хосту с широкой сетевой связностью.
Для предотвращения компрометации хранилища секретов специалисты по информационной безопасности рекомендуют отключать неиспользуемую функциональность и обновить Vaultwarden до последней версии.
Анализ обеих уязвимостей можно прочитать в отдельной статье на Хабре.
Источник: habr.com
Похожие новости:
MITRE лишилась финподдержки США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE)
ТОП-5 ИБ-событий недели по версии Jet CSIRT
Новые уязвимости в Ingress-nginx для Kubernetes позволяют хакерам удаленно выполнять произвольный код
Топ-5 ИБ-событий недели по версии Jet CSIRT