Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-05022

Опубликовано: 25 июн. 2024
Источник: fstec
CVSS3: 7.2
CVSS2: 9
EPSS Низкий

Описание

Уязвимость сервиса для управления паролями vaultwarden связана с неверной нейтрализацией особых элементов в выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Elest.io

Наименование ПО

Vaultwarden

Версия ПО

до 1.32.7 включительно (Vaultwarden)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,2)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://github.com/dani-garcia/vaultwarden/releases/tag/1.33.0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 84%
0.02157
Низкий

7.2 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-24364

CVSS3: 7.2
nvd
около 1 года назад

vaultwarden is an unofficial Bitwarden compatible server written in Rust, formerly known as bitwarden_rs. Attacker with authenticated access to the vaultwarden admin panel can execute arbitrary code in the system. The attacker could then change some settings to use sendmail as mail agent but adjust the settings in such a way that it would use a shell command. It then also needed to craft a special favicon image which would have the commands embedded to run during for example sending a test email. This vulnerability is fixed in 1.33.0.

debian логотип

CVE-2025-24364

CVSS3: 7.2
debian
около 1 года назад

vaultwarden is an unofficial Bitwarden compatible server written in Ru ...

EPSS

Процентиль: 84%
0.02157
Низкий

7.2 High

CVSS3

9 Critical

CVSS2