CVE-2026-43639

Nome do Software Vulnerável e Versões Afetadas Bitwarden Server versões anteriores a 2026.4.0

Descrição Uma falha de autorização ausente permite que um usuário de serviço de provedor adicione uma organização arbitrária ao seu provedor. Isso é possível por meio do endpoint 'POST /providers/{providerId}/clients/existing', onde a variável providerId é utilizada. A exploração bem-sucedida pode resultar na tomada de controle da organização alvo. Este problema afeta especificamente instalações em Nuvem, pois o endpoint é restrito e não está disponível em ambientes auto-hospedados.

Recomendações Atualize para a versão 2026.4.0 ou posterior.