CSIRT Toscana

Bitwarden: PoC pubblico per lo sfruttamento di una nuova vulnerabilità (AL05/260709/CSIRT-ITA)

Data:
9 Luglio 2026

Impatto Sistemico

Critico (78.58)

Sintesi

Disponibile un Proof of Concept (PoC) per la vulnerabilità identificata tramite la CVE-2026-60104 – già sanata dal vendor – presente in Bitwarden Server, noto software open source di gestione delle password. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato, appartenente alla stessa organizzazione e in presenza di specifiche condizioni, di eludere dei meccanismi di sicurezza e di accedere ad informazioni riservate sui sistemi target.

Tipologia

  • Security Restrictions Bypass
  • Information Leakage

Descrizione e potenziali impatti

Disponibili Proof of Concept per la CVE-2026-60104 – già sanata dal vendor – presente in Bitwarden Server. Tale vulnerabilità, di tipo “Authorization Bypass” e con score CVSS 3.1 pari a 8.7, è dovuta da meccanismi di controllo non adeguati delle richieste POST /auth-requests/admin-request che consentono l’associazione ad un account vittima di una richiesta Trusted Device Encryption contenente una chiave pubblica arbitraria.

Nel dettaglio, un utente malintenzionato remoto, appartenente alla stessa organizzazione e in presenza di specifiche condizioni (tra cui abilitazione SSO con Trusted Device Encryption , conoscenza di un device ID della vittima e necessaria approvazione della richiesta da parte di un Owner/Admin o della vittima stessa), tramite richieste opportunamente predispose, potrebbe sfruttare la vulnerabilità per ottenere la chiave di cifratura del vault dell’account vittima e acquisire un token di accesso valido, con potenziale compromissione dell’intero vault e delle informazioni riservate, ove soddisfatte ulteriori condizioni necessarie al completamento della catena di attacco.

Prodotti e versioni affette

Bitwarden Server, versioni precedenti alla 2026.6.0

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Riferimenti

CVE

CVE-ID
CVE-2026-60104

Change log

Versione Note Data
1.0 Pubblicato il 09-07-2026 09/07/2026

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

9 Luglio 2026, 14:26