Bitwarden: PoC pubblico per lo sfruttamento di una nuova vulnerabilità (AL05/260709/CSIRT-ITA)
Data:
9 Luglio 2026
Impatto Sistemico
Critico (78.58)
Sintesi
Disponibile un Proof of Concept (PoC) per la vulnerabilità identificata tramite la CVE-2026-60104 – già sanata dal vendor – presente in Bitwarden Server, noto software open source di gestione delle password. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato, appartenente alla stessa organizzazione e in presenza di specifiche condizioni, di eludere dei meccanismi di sicurezza e di accedere ad informazioni riservate sui sistemi target.
Tipologia
- Security Restrictions Bypass
- Information Leakage
Descrizione e potenziali impatti
Disponibili Proof of Concept per la CVE-2026-60104 – già sanata dal vendor – presente in Bitwarden Server. Tale vulnerabilità, di tipo “Authorization Bypass” e con score CVSS 3.1 pari a 8.7, è dovuta da meccanismi di controllo non adeguati delle richieste POST /auth-requests/admin-request che consentono l’associazione ad un account vittima di una richiesta Trusted Device Encryption contenente una chiave pubblica arbitraria.
Nel dettaglio, un utente malintenzionato remoto, appartenente alla stessa organizzazione e in presenza di specifiche condizioni (tra cui abilitazione SSO con Trusted Device Encryption , conoscenza di un device ID della vittima e necessaria approvazione della richiesta da parte di un Owner/Admin o della vittima stessa), tramite richieste opportunamente predispose, potrebbe sfruttare la vulnerabilità per ottenere la chiave di cifratura del vault dell’account vittima e acquisire un token di accesso valido, con potenziale compromissione dell’intero vault e delle informazioni riservate, ove soddisfatte ulteriori condizioni necessarie al completamento della catena di attacco.
Prodotti e versioni affette
Bitwarden Server, versioni precedenti alla 2026.6.0
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.
Riferimenti
- https://github.com/bitwarden/server/releases#release-v2026.6.0
- https://github.com/bitwarden/server/commit/dcf4c486b2b5bedecc03a48b427243328cc74a9a
- https://github.com/bitwarden/server/pull/7615
CVE
| CVE-ID |
|---|
| CVE-2026-60104 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 09-07-2026 | 09/07/2026 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
9 Luglio 2026, 14:26
CSIRT Toscana