CVE-2026-57521
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia każdemu uwierzytelnionemu użytkownikowi dostęp do danych rozliczeniowych dowolnej organizacji. Brak kontroli dostępu w endpointach PreviewInvoiceController pozwala na podanie dowolnego identyfikatora organizacji i odczytanie poufnych informacji, takich jak podatki, status subskrypcji i szczegóły płatności.
Ocena ryzyka
Atakujący może uzyskać wrażliwe dane finansowe i subskrypcyjne innych organizacji, co narusza poufność i może prowadzić do wycieku informacji handlowych lub naruszenia przepisów o ochronie danych.
Rekomendacja
Należy niezwłocznie zaktualizować Bitwarden Server do wersji 2026.5.0 lub nowszej, która zawiera poprawkę usuwającą lukę w kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
Bitwarden Server before 2026.5.0 contains a broken access control vulnerability that allows any authenticated user to access arbitrary organization billing data by supplying an arbitrary organizationId to the PreviewInvoiceController endpoints without membership or authorization checks. Attackers can exploit the missing ManageOrganizationBillingRequirement on the preview invoice endpoints to retrieve Stripe-computed tax totals, subscription status, and billing details derived from any target organization's real customer and subscription data.

