Sicherheitslücken in Vaultwarden: Privilegieneskalation und Admin-Panel-Übernahme

In Vaultwarden, einer beliebten Open-Source-Alternative zu Bitwarden, wurden drei schwerwiegende Sicherheitslücken entdeckt, die es Angreifern ermöglichen, administrative Kontrolle über fremde Organisationen zu erlangen oder das Admin-Panel unautorisiert zu manipulieren. Betroffen sind alle Versionen bis einschließlich 1.32.7, die Schwachstellen wurden in Version 1.33.0 behoben.

Die erste Schwachstelle (CVE-2025-24365) betrifft eine fehlerhafte Verarbeitung von Organisationszuweisungen in der Vaultwarden-API. Angreifer können durch eine manipulierte API-Anfrage eine fremde Organisation steuern, indem sie die organizationId-Parameter in der URL austauschen. Dies ermöglicht es ihnen, sich selbst Administratorrechte innerhalb fremder Organisationen zuzuweisen, Nutzer einzuladen oder gar Organisationen zu löschen. Besonders gefährlich ist, dass diese Attacke mit minimalen Rechten durchgeführt werden kann, solange der Angreifer bereits Mitglied in einer anderen Organisation ist.

Die zweite Schwachstelle (GHSA-f7r5-w49x-gxm3) erlaubt Angriffe auf das Vaultwarden-Admin-Panel durch Cross-Site Request Forgery (CSRF). Durch eine manipulierte Webseite kann ein Angreifer automatisch HTTP-Anfragen an das Admin-Panel senden, um sicherheitskritische Konfigurationen zu verändern, etwa das Admin-Passwort oder die Multi-Faktor-Authentifizierungseinstellungen. Dies ist besonders problematisch, wenn die Option DISABLE_ADMIN_TOKEN aktiviert ist, da Vaultwarden in diesem Fall keine Authentifizierung für die Änderung von Admin-Einstellungen verlangt. Das Problem resultiert daraus, dass das Admin-Panel keine Überprüfung des Content-Type-Headers durchführt, wodurch Angreifer durch eine einfache HTML-Seite schädliche Anfragen an Vaultwarden senden können.

Die dritte Schwachstelle (GHSA-j4h8-vch3-f797) betrifft eine fehlerhafte Variablenverarbeitung im OrgHeaders-Trait und kann zu einer unerwarteten Eskalation von Benutzerrechten führen. Angreifer können durch die Kombination von GET- und Path-Parametern innerhalb der Vaultwarden-API erreichen, dass der Server Zugriffsrechte verwechselt und falsche Berechtigungen zuweist. Dies kann dazu genutzt werden, um sich höhere Privilegien innerhalb einer Organisation zu verschaffen und administrative Kontrolle zu übernehmen.

Um diese schwerwiegenden Sicherheitslücken zu beheben, wird dringend empfohlen, Vaultwarden auf Version 1.33.0 zu aktualisieren. Zudem sollten Administratoren sicherstellen, dass das Admin-Panel durch geeignete Maßnahmen geschützt ist – dazu gehört, die Option DISABLE_ADMIN_TOKEN zu deaktivieren, Firewall-Regeln zu implementieren, um das Admin-Interface nur von bestimmten IP-Adressen erreichbar zu machen, sowie CSRF-Schutzmechanismen durch geeignete Header-Prüfungen zu aktivieren. Die Sicherheitslücken wurden am 25. Januar 2025 öffentlich bekannt gemacht, weshalb schnelles Handeln erforderlich ist, um potenzielle Angriffe zu verhindern.

Related Posts

Cloudflare-Caching erlaubt Deanonymisierungsangriffe bei Signal und Discord

Der 15-jährige Sicherheitsforscher Hackermondev hat eine schwerwiegende Schwachstelle in Cloudflare aufgedeckt, die es Angreifern ermöglicht, Nutzer durch Cloudflare-Caching präzise zu lokalisieren – ohne deren Wissen. Die Methode nutzt die geografische Nähe von Cloudflare-Datenzentren und die Cache-Statusinformationen in HTTP-Responses, um den Standort eines Nutzers auf wenige Hundert Kilometer genau zu bestimmen. Betroffen sind zahlreiche Anwendungen, darunter die sicherheitsorientierten Plattformen Signal und Discord.

Read More

BSI zertifiziert erste SmartCard mit Post-Quanten-Kryptografie

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat erstmals eine SmartCard zertifiziert, die einen Post-Quanten-Kryptografischen (PQC) Algorithmus implementiert. Die Zertifizierung gemäß den Common Criteria (ISO/IEC 15408) wurde der Infineon Technologies AG für die Integration des Algorithmus ML-KEM auf einer SmartCard erteilt – ein weltweiter Meilenstein in der IT-Sicherheit.

Read More

Datenleck bei Hotelmanagement Plattform Otelier: Millionen persönliche Daten von Hotelgästen gestohlen

Cyberkriminelle haben bei einem Angriff auf die amerikanische Hotelmanagement-Plattform Otelier (ehemals Mydigitaloffice) persönliche Daten von Millionen Hotelgästen entwendet. Die Angreifer nutzten gestohlene Anmeldedaten eines Mitarbeiters, um in den Amazon-S3-Cloudspeicher von Otelier einzudringen. Zwischen Juli und September 2024 konnten sie nahezu acht Terabyte an sensiblen Kundendaten stehlen.

Read More