PT-2026-39864 · Unknown · Vaultwarden
Robert-Fl
·
Publicado
2026-05-11
·
Atualizado
2026-05-12
·
CVE-2026-43914
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Vaultwarden versões anteriores a 1.35.4
Descrição
Uma falha na proteção contra força bruta de login permite que invasores determinem se uma combinação de nome de usuário e senha está correta quando a autenticação de dois fatores (2FA) por e-mail está habilitada. O endpoint de API "/api/two-factor/send-email-login" e sua função associada
send email login() atuam como um oráculo, permitindo a tentativa de senhas por força bruta sem limitação de taxa. Este problema afeta todos os usuários, inclusive aqueles que não configuraram o 2FA por e-mail.Recomendações
Atualize para a versão 1.35.4.
Exploit
Correção
Improper Restriction of Excessive Authentication Attempts
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vaultwarden