CVE-2026-43638Bitwarden Server在v2026.4.1之前的版本中存在一个缺失授权漏洞。由于服务器端对`POST /ciphers/import-organization`接口的权限校验逻辑存在缺陷,任何经过身份验证的攻击者都可以通过提交一个空的`collections`数组来绕过权限检查。这使得攻击者能够将密码数据非法写入到任意组织中,从而破坏组织数据的完整性和机密性。
该漏洞的根本原因在于Bitwarden Server处理组织导入请求时的逻辑错误。正常情况下,当用户尝试向组织导入密码时,服务器应验证用户是否对目标组织内的特定集合拥有写入权限。然而,在受影响版本中,如果请求体中的`collections`字段为空数组`[]`,验证逻辑会误判或直接跳过权限检查环节,但依然允许执行写入操作。攻击者只需拥有一个有效的已认证会话(普通用户权限),即可构造恶意请求,指定目标组织ID,并利用此逻辑缺陷将任意密码项导入该组织。这本质上是一种由于输入验证不充分导致的访问控制失效。