发布日期：2026-02-11
更新日期：2026-04-02

受影响系统：

Vaultwarden Vaultwarden < 1.35.3

描述：

---

CVE(CAN) ID: CVE-2026-26012

Vaultwarden是Daniel García个人开发者的一个用Rust编写的Bitwarden服务器API的替代实现。
vaultwarden 1.35.3之前版本存在漏洞授权错误漏洞，该漏洞源于接口/ciphers/organization-details对所有组织成员开放，并在内部调用Cipher::find_by_org获取组织中的全部密码条目，这些条目以CipherSyncType::Organization类型返回，但未执行基于集合级别的访问控制校验，导致普通组织成员可以检索组织内的所有密码条目，且不受集合权限限制。


<*链接：https://github.com/dani-garcia/vaultwarden/security/advisories/GHSA-h265-g7rm-h337
*>

建议：

---

厂商补丁：

Vaultwarden
-----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/dani-garcia/vaultwarden/security/advisories/GHSA-h265-g7rm-h337

浏览次数：143
严重程度：0（网友投票）