CVE-2026-43913

Nome do Software Vulnerável e Versões Afetadas Vaultwarden versões anteriores a 1.35.5

Descrição O Vaultwarden permite que um proprietário de organização não confirmado limpe todo o cofre da organização. O problema ocorre porque o endpoint 'POST /api/ciphers/purge' verifica se o usuário possui o tipo de associação Owner, mas não verifica se o status da associação é Confirmed. Consequentemente, um usuário autenticado que aceitou um convite de proprietário de organização, mas ainda não foi confirmado por um proprietário existente, pode chamar este endpoint para excluir permanentemente todas as cifras e anexos da organização, resultando em perda imediata de dados.

Recomendações Atualizar para a versão 1.35.5.