Katalog CVE

CVE-2026-57522

NiskieCVSS 3.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia wstrzykiwanie JSON przez funkcję IntegrationTemplateProcessor.ReplaceTokens(), która podstawia wartości kontrolowane przez użytkownika do szablonów integracji zdarzeń bez kodowania JSON. Uwierzytelniony członek organizacji może ustawić swoją nazwę wyświetlaną na metaznaki JSON i wstrzyknąć dowolne pary klucz-wartość do przetwarzanych danych wysyłanych do webhooków, SIEM, Slack, Teams lub Datadog.

Ocena ryzyka

Atakujący może sfałszować dane w integracjach zdarzeń, co może prowadzić do manipulacji logami, alertami lub innymi systemami monitorującymi, potencjalnie ukrywając rzeczywiste zdarzenia lub wprowadzając fałszywe informacje.

Rekomendacja

Należy niezwłocznie zaktualizować Bitwarden Server do wersji 2026.5.0 lub nowszej, która zawiera poprawkę usuwającą podatność na wstrzykiwanie JSON.

Oryginalny opis (angielski, źródło NVD)

Bitwarden Server before 2026.5.0 contains a JSON injection vulnerability in IntegrationTemplateProcessor.ReplaceTokens(), which substitutes user-controlled values into event-integration templates without JSON encoding. When an organization has configured an event integration whose template references a user-controlled token (such as #ActingUserName# or #UserName#, populated from a member's display name), an authenticated member can set their display name to JSON metacharacters and inject arbitrary key-value pairs into the rendered payloads delivered to webhook, SIEM, Slack, Teams, or Datadog endpoints, making injected fields indistinguishable from legitimate template output.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS