Katalog CVE

CVE-2026-57520

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia uwierzytelnionym użytkownikom niestandardowym z uprawnieniem ManageUsers usunięcie kont administratorów z organizacji. Dzieje się tak przez brak sprawdzenia hierarchii ról w punkcie końcowym masowego usuwania użytkowników.

Ocena ryzyka

Atakujący może usunąć wszystkich administratorów z organizacji, co prowadzi do przejęcia kontroli nad organizacją i utraty dostępu dla uprawnionych użytkowników.

Rekomendacja

Należy niezwłocznie zaktualizować Bitwarden Server do wersji 2026.5.0 lub nowszej, która zawiera poprawkę usuwającą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Bitwarden Server before 2026.5.0 contains a privilege escalation vulnerability that allows authenticated Custom users with ManageUsers permission to remove Admin accounts from an organization by exploiting a missing role hierarchy check in the bulk user-remove endpoint. Attackers can supply Admin organization-user IDs in a bulk DELETE request to bypass the guard enforced on the single-user removal path, effectively removing one or more Admin accounts from an organization.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS