Vaultwarden 1.35.4 : trois failles de sécurité corrigées, mettez à jour votre instance !

3 mars 2026
Actu Cybersécurité

Vaultwarden 1.35.4 : trois failles de sécurité corrigées, mettez à jour votre instance !

Si vous utilisez Vaultwarden, la version de Bitwarden destinée à l’auto-hébergement, vous devez installer la nouvelle version : 1.35.4. Cette version corrige trois failles de sécurité.

Une version, trois correctifs de sécurité

Si vous hébergez votre propre gestionnaire de mots de passe en vous appuyant sur Vaultwarden, vous allez devoir mettre à jour votre instance. La nouvelle version 1.35.4 corrige trois failles de sécurité dont les identifiants CVE sont encore en attente d’attribution. Cette version a été publiée le 23 février 2026.

Ces trois nouvelles vulnérabilités pourraient remettre en cause l’intégrité de votre coffre-fort de mots de passe, en particulier dans des environnements multi-utilisateurs ou d’entreprise. En effet, voici ce que l’on sait sur ces trois vulnérabilités :

  • Une fuite de données potentielle : la première faille concerne un défaut de contrôle d’accès. Concrètement, si un attaquant parvient à connaître l’UUID interne d’un élément chiffré (un cipher), il peut y accéder et le télécharger sous sa forme chiffrée, et ce, même si cet élément appartient à un autre utilisateur et qu’il n’y a normalement pas accès. Même si la donnée exfiltrée est chiffrée, le contrôle d’accès est contourné.
  • Escalade de privilèges : en exploitant cette vulnérabilité, les utilisateurs avec le rôle “Manager” peuvent modifier des collections pour lesquelles ils ne disposent que d’un accès en lecture seule.
  • Escalade de privilèges : cette vulnérabilité, elle aussi exploitable avec un utilisateur “Manager”, permet à un utilisateur de modifier des collections qui ne lui sont même pas assignées.

Appliquez la mise à jour dès maintenant

Une nouvelle version de Vaultwarden est disponible, ce qui signifie qu’une nouvelle image Docker a été publiée ! Il convient de récupérer la dernière image et de recréer le conteneur pour appliquer les correctifs. En principe, si vous avez déployé Vaultwarden avec une stack Docker Compose, ces deux commandes doivent suffire :



Enfin, sachez qu’il y a trois semaines, une autre faille de sécurité avait été corrigée, ce qui avait donné lieu à la publication de la version 1.35.3.


Source




SOURCE