Katalog CVE

CVE-2026-57521

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia każdemu uwierzytelnionemu użytkownikowi dostęp do danych rozliczeniowych dowolnej organizacji. Brak kontroli dostępu w endpointach PreviewInvoiceController pozwala na podanie dowolnego identyfikatora organizacji i odczytanie poufnych informacji, takich jak podatki, status subskrypcji i szczegóły płatności.

Ocena ryzyka

Atakujący może uzyskać wrażliwe dane finansowe i subskrypcyjne innych organizacji, co narusza poufność i może prowadzić do wycieku informacji handlowych lub naruszenia przepisów o ochronie danych.

Rekomendacja

Należy niezwłocznie zaktualizować Bitwarden Server do wersji 2026.5.0 lub nowszej, która zawiera poprawkę usuwającą lukę w kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

Bitwarden Server before 2026.5.0 contains a broken access control vulnerability that allows any authenticated user to access arbitrary organization billing data by supplying an arbitrary organizationId to the PreviewInvoiceController endpoints without membership or authorization checks. Attackers can exploit the missing ManageOrganizationBillingRequirement on the preview invoice endpoints to retrieve Stripe-computed tax totals, subscription status, and billing details derived from any target organization's real customer and subscription data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS