PT-2026-37220 · Unknown · Vaultwarden
Jackhax
·
Publicado
2026-05-05
·
Atualizado
2026-05-05
·
CVE-2026-33420
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Vaultwarden versões anteriores a 1.35.5
Descrição
O endpoint 'get org collections details' "/api/organizations/{org id}/collections/details" carece da verificação de autorização
has full access(). Isso permite que um usuário com a função de Gerente, que possua accessAll definido como False e nenhuma coleção atribuída, recupere os nomes, UUIDs, mapeamentos de usuário para coleção e mapeamentos de grupo para coleção de todas as coleções da organização.Recomendações
Atualizar para a versão 1.35.5.
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vaultwarden