| Title | BitwardenのServerにおけるインジェクションに関する脆弱性 |
|---|---|
| Summary | Bitwarden Serverの2026.5.0以前のバージョンには、IntegrationTemplateProcessor.ReplaceTokens()にJSONインジェクションの脆弱性があります。この関数は、ユーザー制御の値をJSONエンコードせずにイベント連携テンプレートに置換します。組織がユーザー制御トークン(例えば、#ActingUserName#や#UserName#、メンバーの表示名から取得されるもの)を参照するイベント連携テンプレートを設定している場合、認証されたメンバーは表示名にJSONのメタ文字を設定し、webhook、SIEM、Slack、Teams、Datadogのエンドポイントに送信されるレンダリングされたペイロードに任意のキー・バリューペアを注入できます。注入されたフィールドは正当なテンプレート出力と区別がつかなくなります。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 25, 2026, midnight |
| Registration Date | June 29, 2026, 11:05 a.m. |
| Last Update | June 29, 2026, 11:05 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:L/A:N |
| Bitwarden |
| Server 2026.5.0 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:05 a.m. |
| Summary | Bitwarden Server before 2026.5.0 contains a JSON injection vulnerability in IntegrationTemplateProcessor.ReplaceTokens(), which substitutes user-controlled values into event-integration templates without JSON encoding. When an organization has configured an event integration whose template references a user-controlled token (such as #ActingUserName# or #UserName#, populated from a member's display name), an authenticated member can set their display name to JSON metacharacters and inject arbitrary key-value pairs into the rendered payloads delivered to webhook, SIEM, Slack, Teams, or Datadog endpoints, making injected fields indistinguishable from legitimate template output. |
|---|---|
| Publication Date | June 26, 2026, 5:17 a.m. |
| Registration Date | June 27, 2026, 4:31 a.m. |
| Last Update | June 28, 2026, 5:39 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:bitwarden:server:*:*:*:*:*:*:*:* | 2026.5.0 | ||||