Vaultwarden

Eine Schwachstelle in Vaultwarden ermöglicht es Angreifern mit Admin-Rechten in einer Organisation, Gruppen in anderen Organisationen zu ändern oder zu löschen, wenn sie die entsprechenden UUIDs kennen. Dies kann zu Dienstverweigerung oder Rechteausweitung führen.

Eine Schwachstelle in Vaultwarden ermöglicht es Angreifern, Administratorrechte in fremden Organisationen zu erlangen, indem sie URL-Parameter manipulieren und dabei ihre eigenen Organisationsrechte missbrauchen.

Eine Schwachstelle in Vaultwarden ermöglicht es Angreifern mit Admin-Zugang, beliebigen Code auf dem Server auszuführen, indem sie Konfigurationseinstellungen manipulieren und speziell präparierte Dateien hochladen.

Eine Schwachstelle in Vaultwarden ermöglicht es Angreifern, über bösartige Webseiten unerlaubt Administratoreinstellungen zu ändern, wenn die DISABLE_ADMIN_TOKEN-Option aktiviert ist.

Vaultwarden-Passwort-Manager bis Version 1.34.3 hat einen Fehler bei der Zwei-Faktor-Authentifizierung, der es Angreifern mit Kontozugang ermöglicht, den sechsstelligen Einmalcode durch wiederholte Versuche zu umgehen und geschützte Aktionen wie Kontolöschung durchzuführen.

Eine Schwachstelle in Vaultwarden ermöglicht es Organisationsmitgliedern, alle verschlüsselten Passwörter und Daten der Organisation abzurufen, auch wenn sie normalerweise keinen Zugriff auf bestimmte Sammlungen haben sollten.

Eine Schwachstelle in Vaultwarden ermöglicht es Manager-Konten, ihre Berechtigungen zu erweitern und unbefugt auf Sammlungen zuzugreifen, die ihnen ursprünglich nicht zugewiesen waren, indem sie eine spezielle API-Funktion missbrauchen.

Vaultwarden-Passwort-Manager erlaubt Benutzern mit Manager-Rolle, Sammlungen zu bearbeiten und zu löschen, obwohl ihre Berechtigung dafür explizit deaktiviert wurde, was zu unbefugtem Zugriff und Datenverlust führen kann.

Eine Schwachstelle in Vaultwarden ermöglicht es angemeldeten Benutzern, verschlüsselte Passwort-Daten und Anhänge anderer Benutzer über eine fehlerhafte API-Schnittstelle abzurufen, obwohl sie dazu nicht berechtigt sind.

Eine Schwachstelle in Vaultwarden's SSO-Anmeldung ermöglichte es Angreifern, die Konten anderer Nutzer zu übernehmen, indem sie Opfer dazu brachten, sich bei einem vom Angreifer kontrollierten Anmeldeprozess zu authentifizieren.

Eine Autorisierungslücke in Vaultwarden ermöglicht es Managern mit eingeschränkten Rechten, Namen und Zuordnungen aller Sammlungen in ihrer Organisation einzusehen, obwohl sie nur Zugriff auf bestimmte Sammlungen haben sollten.

Eine Schwachstelle in Vaultwarden ermöglicht es Angreifern mit Passwort-Zugang, WebAuthn-Anmeldedaten dauerhaft zu beschädigen, indem sie gefälschte Authentifizierungsdaten senden, die vor der Signaturprüfung verarbeitet werden und so die Zwei-Faktor-Authentifizierung dauerhaft blockieren können.

Eine Schwachstelle in Vaultwarden ermöglicht es Angreifern, durch Eingabe beliebiger E-Mail-Adressen herauszufinden, welche Organisationen SSO verwenden, und anschließend ohne Identitätsnachweis gültige Authentifizierungs-Token zu erhalten.

Eine Sicherheitslücke in Vaultwarden ermöglicht es Angreifern, mit alten Refresh-Tokens weiterhin auf Benutzerkonten zuzugreifen, auch nachdem Nutzer sicherheitsrelevante Änderungen wie Passwort-Updates vorgenommen haben.

Eine Schwachstelle in Vaultwarden ermöglichte es Angreifern, sich als andere Nutzer anzumelden, indem sie bei einem Identity Provider eine Identität mit der E-Mail-Adresse des Opfers registrierten und die unzureichende E-Mail-Verifizierung im SSO-Login ausnutzten.

Vaultwarden, ein Passwort-Manager, überprüft nicht korrekt, ob Gruppen und Benutzer zur gleichen Organisation gehören, wodurch Administratoren einer Organisation unbefugten Zugriff auf Passwörter und Daten anderer Organisationen erlangen können.

Eine Sicherheitslücke in Vaultwarden ermöglicht es eingeladenen Organisationsbesitzern, das gesamte Organisationstresor zu löschen, bevor ihre Einladung von bestehenden Besitzern bestätigt wurde, was zu sofortigem Datenverlust führen kann.

Vaultwarden vor Version 1.35.4 hat eine Schwachstelle, die es Angreifern ermöglicht, den Schutz vor Brute-Force-Angriffen zu umgehen, wenn E-Mail-2FA aktiviert ist, und so Passwörter ohne Ratenbegrenzung zu erraten.

Vaultwarden, ein Passwort-Manager, hat eine Schwachstelle in der Icon-Abruf-Funktion, die es Angreifern ermöglicht, HTTP-Anfragen an interne Server zu senden, indem sie IP-Adressen in alternativen Formaten (dezimal, hexadezimal) verwenden.

Kritische Sicherheitsupdates für SSO CSRF, Benutzerenumeration, SSRF und andere Schwachstellen sowie neue Archivierungsfunktion für Einträge

Fehlerbehebungen für Master-Passwort-Richtlinien, Wiederherstellungscodes, Refresh-Token-Antworten und DNS-Probleme sowie Updates für Rust, Abhängigkeiten und Web-Vault

Behebt ein Problem mit der Zwei-Faktor-Authentifizierung auf Android-Geräten

Kritische Sicherheitsupdates für Organisationsverwaltung und Token-Invalidierung, Admin-Templates geändert, 2FA-Token auf 30 Tage begrenzt

Behebt kritischen Fehler bei Zwei-Faktor-Authentifizierung wo Remember-Token und Recovery-Token nicht akzeptiert wurden

Sicherheitsupdate behebt kritische Schwachstellen bei Cipher-Zugriff und Organisationsberechtigungen

Sicherheitsupdate behebt kritische Schwachstelle, die authentifizierten Angreifern Zugriff auf fremde Organisationssammlungen ermöglichte

Behebt kritischen Fehler bei der Organisationserstellung im Web-Vault und verbessert Android-Kompatibilität sowie SSO-Funktionalität

Behebt Logout-Problem nach Upgrade durch Refresh-Token-Parsing-Fehler und aktualisiert Web-Vault auf Version 2025.12.1

Vaultwarden 1.35.0 führt OpenID Connect SSO-Unterstützung ein, aktualisiert das Web-Vault auf 2025.12.0 und behebt verschiedene Bugs bei Multi-Select-Push und WebAuthn

Behebt MySQL/MariaDB-Verbindungsprobleme in Alpine-Images durch Downgrade auf MariaDB Connector/C v3.4.5

Vaultwarden 1.34.2 aktualisiert Web-Vault auf 2025.7.0, fügt experimentelle S3-Unterstützung hinzu und behebt verschiedene Fehler bei Passkeys, Passwort-Richtlinien und Yubico-Schlüsseln

Vaultwarden 1.34.0 führt neuen Registrierungsablauf mit E-Mail-Verifizierung ein, behebt CVE-2025-25188 und fügt Feature-Flags für mTLS und Anhang-Export hinzu

Behebt einen Absturz in der Admin-Diagnose-Funktion

Sicherheitsupdate mit CVE-Fix, Workflow-Verbesserungen und Fehlerbehebungen für Icon-Weiterleitungen und Sammlungsverwaltung

Bugfix-Release mit Korrekturen für Desktop-Client-Icons, Einladungen, DUO-Einstellungen, Manager-Rechte und Mobile-Client-Synchronisation

Sicherheitsupdate behebt kritische Schwachstelle bei aktivierter ORG_GROUPS_ENABLED Einstellung und enthält weitere Optimierungen

Fehlerbehebungen für Push-Benachrichtigungen, Mitgliederverwaltung und Synchronisation mit nativen Clients sowie Backend-Admin-Updates

Sicherheitsupdate mit CVE-Fixes, SSH-Schlüssel-Unterstützung für Desktop-Clients und verschiedene Fehlerbehebungen

Sicherheitsupdate behebt mehrere CVE-Schwachstellen und verbessert Kompatibilität mit mobilen Apps

Fehlerbehebungen für E-Mail-Einladungen, SMTP-Probleme mit bestimmten Anbietern, iOS-Synchronisation und Sammlungsverwaltung

Fehlerbehebungen für Collection-Management, Windows-Kompilierung und Version-Parameter

Bugfix-Release mit Korrekturen für mobile Client-Synchronisation, neuer SQLite-Backup-CLI-Option und E-Mail-Template-Verbesserungen

Sicherheitsupdate mit Fixes für drei CVE-Schwachstellen, Web-Vault-Aktualisierung und verschiedene Fehlerbehebungen

Fehlerbehebung für Web-API-Aufruf mit jQuery 3.7.1 Kompatibilität