CVE-2026-57520
WysokieCVSS 7.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia uwierzytelnionym użytkownikom niestandardowym z uprawnieniem ManageUsers usunięcie kont administratorów z organizacji. Dzieje się tak przez brak sprawdzenia hierarchii ról w punkcie końcowym masowego usuwania użytkowników.
Ocena ryzyka
Atakujący może usunąć wszystkich administratorów z organizacji, co prowadzi do przejęcia kontroli nad organizacją i utraty dostępu dla uprawnionych użytkowników.
Rekomendacja
Należy niezwłocznie zaktualizować Bitwarden Server do wersji 2026.5.0 lub nowszej, która zawiera poprawkę usuwającą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Bitwarden Server before 2026.5.0 contains a privilege escalation vulnerability that allows authenticated Custom users with ManageUsers permission to remove Admin accounts from an organization by exploiting a missing role hierarchy check in the bulk user-remove endpoint. Attackers can supply Admin organization-user IDs in a bulk DELETE request to bypass the guard enforced on the single-user removal path, effectively removing one or more Admin accounts from an organization.

