В мире управления доступом и паролями, где надёжность является краеугольным камнем, обнаружение уязвимостей в популярном решении - всегда тревожный сигнал для бизнеса и частных пользователей. На этот раз под прицелом исследователей безопасности оказался Vaultwarden, широко распространённая альтернативная реализация сервера Bitwarden, написанная на языке Rust. Выявленные недостатки авторизации позволяют скомпрометированным учётным записям менеджеров обходить установленные ограничения, что создаёт непосредственную угрозу для конфиденциальности и целостности хранимых учётных данных. Между тем, своевременное обновление программного обеспечения способно нейтрализовать эту опасность.
Детали уязвимостей
Специалисты обнаружили две уязвимости высокой степени серьёзности, зарегистрированные под идентификаторами CVE-2026-27803 и CVE-2026-27802. Обе проблемы характеризуются сетевым вектором атаки, низкой сложностью эксплуатации и, что критически важно, не требуют какого-либо взаимодействия с пользователем. В настоящий момент уязвимости затрагивают Vaultwarden версии 1.35.3, и разработчики настоятельно рекомендуют организациям немедленно обновиться до исправленной версии 1.35.4. Первая уязвимость, CVE-2026-27803, связана с неправильным управлением авторизацией и привилегиями. В безопасной среде Vaultwarden учётная запись менеджера требует наличия конкретных разрешений для изменения коллекции паролей. Однако тестирование безопасности подтвердило, что если менеджер обладает базовым доступом к коллекции, он может выполнять административные команды, даже когда это явно запрещено настройкой manage=false. Отправляя целевые HTTP-запросы на сервер, злоумышленник, обладающий учётной записью менеджера с низким уровнем прав, может полностью обойти предполагаемые механизмы контроля доступа. Это позволяет успешно модифицировать организационные коллекции, обновлять назначения пользователей или полностью удалять коллекцию, не вызывая срабатывания блокировок авторизации. Данный недостаток создаёт глубокие риски для конфиденциальности, целостности и доступности данных. Злоумышленники могут легко расширить сферу своего доступа для раскрытия конфиденциальных учётных данных, манипулировать критически важными настройками контроля доступа и нарушать ежедневные бизнес-процессы путём удаления ключевых корпоративных коллекций паролей.
В свою очередь, вторая уязвимость высокой серьёзности, CVE-2026-27802, открывает путь для прямого повышения привилегий через API массового доступа (bulk-access API). Учётная запись менеджера, не имеющая глобальных разрешений на доступ (access_all=false), может злоупотребить этой конечной точкой для нацеливания на коллекции, которые никогда ей не назначались. Вредоносное манипулирование API массового доступа позволяет злоумышленнику изменить свой статус назначения с false на true, мгновенно предоставляя себе несанкционированный доступ к строго ограниченным областям. Эта уязвимость обнажает критический пробел в авторизации на HTTP-уровне. Стандартные API-вызовы для единичного обновления успешно идентифицировали и блокировали подобные несанкционированные действия, возвращая стандартную ошибку 401 Unauthorized. Однако API массового доступа полностью обходил эти проверки безопасности. Более того, после выполнения несанкторизованного массового обновления обычный API, что удивительно, также начинал принимать эти изменения. Данный метод эксплуатации серьёзно подрывает конфиденциальность и целостность данных, позволяя неавторизованным лицам просматривать защищённые учётные данные и потенциально блокировать легитимных пользователей путём вредоносного удаления их назначений.
Таким образом, обнаруженные уязвимости представляют собой классический пример ошибок логики авторизации, когда проверки прав в одной части системы не согласованы с проверками в другой. Для организаций, использующих Vaultwarden, последствия могут быть значительными: от утечки паролей к критически важным системам до полной потери доступа к управлению учётными данными. Эксперты в области информационной безопасности подчёркивают, что подобные инциденты демонстрируют важность не только своевременного обновления, но и регулярного аудита логики контроля доступа в собственных приложениях. Меры по смягчению угроз в данном случае однозначны и срочны. Администраторам необходимо обновить свои системы до Vaultwarden версии 1.35.4, где данные проблемы устранены. Кроме того, в качестве превентивной меры рекомендуется проводить ревизию журналов аудита на предмет подозрительной активности, связанной с API управления коллекциями, особенно исходящей от учётных записей менеджеров среднего звена. Также целесообразно пересмотреть и ужесточить политики назначения ролей, следуя принципу минимальных необходимых привилегий. В конечном счёте, данный случай служит напоминанием о том, что даже в проектах с репутацией высокой безопасности, каковым является написанный на Rust Vaultwarden, тщательный код-ревью и постоянное тестирование на проникновение остаются неотъемлемыми компонентами жизненного цикла разработки.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-27803
- https://www.cve.org/CVERecord?id=CVE-2026-27802
- https://github.com/dani-garcia/vaultwarden/security/advisories/GHSA-h4hq-rgvh-wh27
- https://github.com/dani-garcia/vaultwarden/security/advisories/GHSA-r32r-j5jq-3w4m
