製品・ソフトウェアに関する情報

JVN脆弱性詳細

Daniel GarciaのVaultwardenにおけるデータの信頼性についての不十分な検証に関する脆弱性

Title	Daniel GarciaのVaultwardenにおけるデータの信頼性についての不十分な検証に関する脆弱性
Summary	VaultwardenはRustで書かれたBitwarden互換のサーバーです。バージョン1.35.4以前では、`validate_webauthn_login()`のWebAuthn認証フローが署名検証を行う前に未検証の`authenticatorData`に基づいて永続的な資格情報メタデータ（1backup_eligible1および1backup_stateフラグ）を更新していました。ユーザーのパスワードを知っているが有効なWebAuthn署名を生成できない攻撃者は、そのユーザーの資格情報に保存されたバックアップフラグを恒久的に変更できます。署名検証に失敗してもデータベースの更新はロールバックされません。この問題により、影響を受けた資格情報のWebAuthn二要素認証が恒久的にサービス拒否状態になる可能性があります。この問題はバージョン1.35.5で修正されました。
Possible impacts	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 5, 2026, midnight
Registration Date	May 13, 2026, 10:25 a.m.
Last Update	May 13, 2026, 10:25 a.m.

CVSS3.0 : 警告
Score	5.4
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L

Affected System

Daniel Garcia

Vaultwarden 1.35.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-31835	https://www.cve.org/CVERecord?id=CVE-2026-31835
National Vulnerability Database (NVD)
2	CVE-2026-31835	https://nvd.nist.gov/vuln/detail/CVE-2026-31835

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-345	https://cwe.mitre.org/data/definitions/345.html

ベンダー情報

No	Name	URL
GitHub
1	Vaultwarden: WebAuthn assertion processed before signature verification allows persistent credential backup-flag tampering Advisory dani-garcia/vaultwarden GitHub	https://github.com/dani-garcia/vaultwarden/security/advisories/GHSA-x7g7-cgx5-jhx2

その他

No	Name	URL
関連文書
1	Release 1.35.5 dani-garcia/vaultwarden GitHub	https://github.com/dani-garcia/vaultwarden/releases/tag/1.35.5

Change Log

No	Changed Details	Date of change
1	[2026年05月13日] 掲載	May 13, 2026, 10:25 a.m.

NVD Vulnerability Information

CVE-2026-31835

Summary	Vaultwarden is a Bitwarden-compatible server written in Rust. In versions 1.35.4 and earlier, the WebAuthn authentication flow in `validate_webauthn_login()` updates persistent credential metadata (1backup_eligible1 and 1backup_state flags1) based on unverified `authenticatorData` before signature validation is performed. An attacker who knows a user's password but cannot produce a valid WebAuthn signature can permanently modify the stored backup flags for that user's credential. If signature verification fails, the database update is not rolled back. This can result in a persistent denial of service of WebAuthn two-factor authentication for affected credentials. This issue has been fixed in version 1.35.5.
Publication Date	May 6, 2026, 4:16 a.m.
Registration Date	May 7, 2026, 4:07 a.m.
Last Update	May 12, 2026, 1:59 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:dani-garcia:vaultwarden::::::::					1.35.5

Related information, measures and tools

No	URL	refsource
1	https://github.com/dani-garcia/vaultwarden/releases/tag/1.35.5	security-advisories@github.com
2	https://github.com/dani-garcia/vaultwarden/security/advisories/GHSA-x7g7-cgx5-jhx2	security-advisories@github.com
3	https://github.com/dani-garcia/vaultwarden/security/advisories/GHSA-x7g7-cgx5-jhx2	134c704f-9b21-4f2e-91b3-4a467353bcc0

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-345	データの信頼性についての不十分な検証	https://cwe.mitre.org/data/definitions/345.html