Vaultwarden Vulnerabilities Enable Privilege Escalation and Data Exposure
2026/03/09 gbhackers — Bitwarden 互換として、Rust 言語で実装された代替ソリューション Vaultwarden に、2件の深刻な脆弱性が発見された。脆弱性 CVE-2026-27803 (CVSS:8.3 High)/CVE-2026-27802 (CVSS:8.3 High) を悪用する攻撃者は、侵害済みの Manager アカウントを介して、認可チェックの回避と権限の昇格を行い、保存済みの機密認証情報を漏洩させる可能性がある。
これらの脆弱性は、ネットワーク・ベースの攻撃ベクターでの悪用が可能である。攻撃の複雑性は低く、ユーザー操作は不要である。影響を受ける Vaultwarden バージョン 1.35.3 に代えて、すでに Vaultwarden 1.35.4 がリリースされているため、管理者は速やかにアップグレードを行い、環境を保護する必要がある。
コレクション管理バイパスの脆弱性
作者である dani-garcia が報告した脆弱性 CVE-2026-27803 は、不適切な認可および権限管理に起因するものだ。安全な Vaultwarden 環境では、Manager アカウントからパスワード・コレクションを変更する際には、特定の権限が必要となる。
しかし、”manage=false” 設定により明示的に制限されている場合であっても、コレクションへの基本アクセス権のみを持つ Manager が、管理コマンドを実行できることが確認された。
攻撃者は標的を絞った HTTP リクエストをサーバへ送信することで、アクセス制御を完全に回避できる。その結果として、認可ブロックを発生させることなく、組織コレクションの変更/ユーザー割当の更新/コレクションの削除などを実行できる。
この欠陥は機密性/完全性/可用性のすべてに深刻な影響を与える。攻撃者が引き起こせる悪意のアクションとしては、アクセス範囲の拡大/機密認証情報の漏洩/アクセス制御設定の改竄/重要なパスワード・コレクションの削除などがあり、企業の業務が妨害される可能性が生じる。
一括アクセス権限昇格の脆弱性
セキュリティ研究者 odgrso により報告された、2件目の深刻な脆弱性 CVE-2026-27802 は、Vaultwarden の bulk-access API を悪用することで直接的な権限昇格を可能にするものだ。グローバル・アクセス権限を持たない Manager アカウント (access_all=false) であっても、このエンドポイントを悪用することで、自身に割り当てられていないコレクションを操作できる。
攻撃者は bulk-access API を操作し、割当状態を false から true に変更することで、不正なアクセス権を取得できる。通常の単一更新 API 呼び出しでは 401 Unauthorized エラーが返されるが、bulk-access API では、これらの認可チェックが完全に回避される。
さらに、不正な bulk 更新が実行されると、その後は通常 API でも変更が受け入れられる状態となる。この脆弱性が露呈するのは、HTTP レベルにおける深刻な認可ギャップである。この脆弱性は、データの機密性と完全性に対して深刻なリスクを招く。攻撃者は制限された認証情報を閲覧できるだけでなく、正規ユーザーの割り当てを削除することでアクセスを妨害し、ユーザーを締め出すことも可能である。
管理者にとって必要なことは、Vaultwarden 1.35.4 へと速やかにアップデートし、2件のネットワーク・ベースの脅威を軽減することだ。
今回の脆弱性の原因は、本来行われるべき認可チェックが、特定の条件下で機能していなかったことにあります。脆弱性 CVE-2026-27803 では、設定により制限されるはずの管理コマンドが、不適切な権限管理により実行されてしまうという状態でした。また、 CVE-2026-27802 では、一括処理を行う API (bulk-access API ) において、個別の更新時には適用される認証チェックが漏れてしまうという問題が発生しています。ご利用のチームに推奨されるのは、修正済みバージョンへの速やかな更新です。よろしければ、2025/01/29 の「Vaultwarden パスワード管理の複数の脆弱性が FIX:速やかなアップデートが必須!」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.