Bitwarden Server < 2026.5.0 权限提升漏洞 漏洞概述 Bitwarden Server 在 2026.5.0 版本之前存在一个权限提升漏洞,允许经过身份验证的具有 权限的自定义用户通过利用批量删除端点中缺失的角色层次结构检查,从组织中移除管理员账户。攻击者可以通过在批量 请求中提供管理员组织用户 ID 来绕过单用户删除路径上强制执行的安全检查,从而有效地移除一个或多个管理员账户。 影响范围 受影响版本: Bitwarden Server < 2026.5.0 CVE: CVE-2026-57520 CWE: CWE-862 Missing Authorization CVSS 评分: 7.1 CVSS 向量: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/HA:L/SC:N/SI:N/SA:N 修复方案 升级到 Bitwarden Server 2026.5.0 或更高版本以修复此漏洞。 参考链接 Sanjok Karki 博客 Bitwarden 2026.5.0 发布说明 Bitwarden 补丁提交 Bitwarden 补丁代码 贡献者 Sanjok Karki