Vaultwarden 1.35.5 a été publié le 12 avril 2026 et si vous utilisez ce gestionnaire de mots de passe, je vous recommande vivement d’appliquer cette mise à jour : elle corrige trois failles de sécurité. Voici l’essentiel à savoir.

Depuis plusieurs jours, je surveille l’état des bulletins de sécurité associés à la version 1.35.5 de Vaultwarden. En effet, j’attendais des détails techniques supplémentaires, car pour l’heure, ces avis de sécurité restent privés. Ils sont notamment dans l’attente de l’attribution officielle de numéros CVE correspondants.

Quoi qu’il en soit, cette version publiée le 12 avril 2026 corrige trois failles de sécurité, et comme il est question d’un gestionnaire de mots de passe, il faut patcher rapidement. Voici ce que l’on sait sur ces vulnérabilités :

• GHSA-937x-3j8m-7w7p : un défaut permettant à un propriétaire non confirmé de purger l’intégralité du coffre-fort d’une organisation.
• GHSA-569v-845w-g82p : une vulnérabilité où la liaison de groupes inter-organisations offre un accès non autorisé, en lecture et en écriture, au sein d’une autre organisation.
• GHSA-6j4w-g4jh-xjfx : un problème de session où les jetons d’actualisation (appelés Refresh tokens) ne sont pas invalidés lors de la rotation de l’empreinte de sécurité.

La nouvelle version 1.35.5 de Vaultwarden corrige également des bugs en plus de ces failles de sécurité. La mise à jour est recommandée et la note de version stipule clairement : “Cette version contient des correctifs de sécurité pour les avis suivants. Nous vous conseillons vivement de mettre à jour dès que possible.”

Si vous décidez de mettre à jour, basculez directement sur la version 1.35.7 publiée le 13 avril 2026. En effet, la mise à jour de sécurité évoquée dans cet article a eu un effet indésirable sur la gestion des jetons pour l’authentification multifacteur (MFA). Par conséquent, deux mises à jour mineures supplémentaires ont été publiées pour rectifier le tir.

Enfin, cet article est l’occasion de rappeler que Vaultwarden 1.35.4 avait permis de corriger également trois failles de sécurité.