Une nouvelle vulnérabilité (CVE-2026-26012) a été corrigée dans Vaultwarden : elle permet à un membre d’une organisation de contourner les restrictions d’accès aux collections et de récupérer l’ensemble des mots de passe chiffrés. L’installation du patch de sécurité est fortement recommandée.
Un contournement des permissions au sein des Organisations
Pour rappel, Vaultwarden est l’alternative au serveur Bitwarden, codée en Rust et destinée à l’auto-hébergement. D’ailleurs, c’est un gestionnaire de mots de passe très populaire auprès des amateurs d’auto-hébergement. Le problème, c’est qu’une faille de sécurité a été découverte : la CVE-2026-26012.
Le problème réside dans la manière dont l’API gère les requêtes au sein d’une organisation. Lorsqu’un utilisateur authentifié interroge le point de terminaison /ciphers/organization-details, le système fait appel à la fonction interne Cipher::find_by_org. Le hic ? Cette fonction renvoie la totalité des éléments (ciphers) de l’organisation, sans vérifier si l’utilisateur possède les droits spécifiques pour accéder aux “Collections” (les dossiers partagés) concernées.
Ce problème de sécurité remet en cause le cloisonnement des données au sein de Vaultwarden, ce qui est pourtant essentiel dans le contexte d’une instance partagée par plusieurs utilisateurs. “Ces données chiffrées sont renvoyés avec CipherSyncType::Organization sans appliquer de contrôle d’accès au niveau de la collection.”, précise le bulletin de sécurité.
Quels sont les risques ?
Bien que le score CVSS v3 associé à cette vulnérabilité soit modéré (6.5/10), notamment parce que l’attaquant doit être authentifié pour exploiter la vulnérabilité, il y a un impact potentiel assez important sur la confidentialité des données.
En réalité, un utilisateur de votre instance dont le compte a été compromis (ou un utilisateur malhonnête) pourrait exploiter cette faille pour accéder à des informations stockées dans les coffres-forts des autres utilisateurs.
Vaultwarden met en avant le scénario d’attaque suivant :
L’attaquant est un membre de l’organisation (Utilisateur, Manager, Admin ou Propriétaire).
Il effectue un appel API vers /ciphers/organization-details, incluant des collections pour lesquelles il n’a normalement aucune permission.
Le serveur lui renvoie tous les ciphers de l’organisation, incluant les données chiffrées, les clés et les métadonnées des pièces jointes.
Bien que les données récupérées via cette vulnérabilité soient chiffrées, l’accès aux clés et aux métadonnées constitue un risque important. Cela est d’autant plus vrai si les données parviennent à être déchiffrées côté client.
Se protéger de la CVE-2026-26012
Cette faille de sécurité affecte la version 1.35.2 de Vaultwarden et toutes les versions antérieures. Elle a été corrigée dans la version 1.35.3 publiée le 10 février 2026. Si vous utilisez Vaultwarden, il est recommandé d’installer ce correctif de sécurité afin de protéger vos identifiants.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.