CVE-2026-33420Vaultwarden 1.35.4及更早版本由于特定端点缺少必要的授权检查,导致存在权限缺失漏洞。具有Manager角色的用户在未配置完全访问权限且无具体集合分配的情况下,仍能越权访问并获取组织内所有集合的名称、UUID以及用户与组的映射数据,造成敏感信息泄露。
该漏洞的根源在于Vaultwarden后端代码在处理`GET /api/organizations/{org_id}/collections/details`请求时,未能正确调用`has_full_access()`函数进行权限校验。与其兄弟端点`/organizations/{org_id}/collections`相比,该接口的访问控制逻辑存在疏漏。在正常逻辑下,仅当用户拥有完全访问权限或被明确分配至特定集合时,才能查看集合详情。然而,由于此漏洞,任何具有Manager角色的用户,即使其`accessAll`标志为False且未被分配任何集合,只需向该端点发送HTTP GET请求,即可绕过限制。服务器将返回组织内所有集合的名称、UUID、用户与集合的映射关系以及组与集合的映射关系,导致敏感组织架构信息泄露。