CVE-2026-57522
NiskieCVSS 3.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia wstrzykiwanie JSON przez funkcję IntegrationTemplateProcessor.ReplaceTokens(), która podstawia wartości kontrolowane przez użytkownika do szablonów integracji zdarzeń bez kodowania JSON. Uwierzytelniony członek organizacji może ustawić swoją nazwę wyświetlaną na metaznaki JSON i wstrzyknąć dowolne pary klucz-wartość do przetwarzanych danych wysyłanych do webhooków, SIEM, Slack, Teams lub Datadog.
Ocena ryzyka
Atakujący może sfałszować dane w integracjach zdarzeń, co może prowadzić do manipulacji logami, alertami lub innymi systemami monitorującymi, potencjalnie ukrywając rzeczywiste zdarzenia lub wprowadzając fałszywe informacje.
Rekomendacja
Należy niezwłocznie zaktualizować Bitwarden Server do wersji 2026.5.0 lub nowszej, która zawiera poprawkę usuwającą podatność na wstrzykiwanie JSON.
Oryginalny opis (angielski, źródło NVD)
Bitwarden Server before 2026.5.0 contains a JSON injection vulnerability in IntegrationTemplateProcessor.ReplaceTokens(), which substitutes user-controlled values into event-integration templates without JSON encoding. When an organization has configured an event integration whose template references a user-controlled token (such as #ActingUserName# or #UserName#, populated from a member's display name), an authenticated member can set their display name to JSON metacharacters and inject arbitrary key-value pairs into the rendered payloads delivered to webhook, SIEM, Slack, Teams, or Datadog endpoints, making injected fields indistinguishable from legitimate template output.

