CVE-2024-39925

Vaultwarden (anteriormente Bitwarden RS) versão 1.30.3

Foi detectada uma falha no Vaultwarden, que não possui um processo de desligamento para membros que deixam uma organização. Como resultado, a chave compartilhada da organização não é renovada quando um membro sai, e o membro que sai mantém uma cópia da chave da organização. O aplicativo também não protege adequadamente alguns dados criptografados armazenados no servidor, permitindo que um usuário autenticado obtenha acesso não autorizado aos dados criptografados de qualquer organização, mesmo que o usuário não seja membro da organização visada, desde que conheça o organizationId correspondente.

Para a versão 1.30.3 do Vaultwarden, considere implementar um processo adequado de desligamento para alternar a chave de organização compartilhada quando um membro se desligar e garanta que o acesso aos dados criptografados seja devidamente revogado para os membros que se desligam. Como solução temporária, restrinja o acesso aos dados criptografados armazenados no servidor para minimizar o risco de exploração. Além disso, considere desativar o recurso que permite que usuários autenticados acessem dados criptografados de outras organizações até que uma correção adequada esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.