Software-update - Vaultwarden 1.35.4

In dit artikel:

Vaultwarden (voorheen bitwarden_rs), de door Daniel García ontwikkelde, in Rust geschreven, onofficiële serverimplementatie van Bitwarden die veel gebruikt wordt voor zelfgehoste wachtwoordkluizen, is bijgewerkt naar versie 1.35.4. Deze uitgave verhelpt meerdere ernstige beveiligingslekken en gebruikers worden dringend aangeraden zo snel mogelijk te updaten.

Drie gemelde kwetsbaarheden (GHSA-w9f8-m526-h7fh, GHSA-h4hq-rgvh-wb7 en GHSA-r32r-j5jq-3w4m) maken het onder bepaalde omstandigheden mogelijk dat een aanvaller:
- toegang krijgt tot versleutelde ciphers van een andere gebruiker als het interne UUID bekend is;
- als organisatie‑manager collecties wijzigt waarvoor hij geen beheerrechten heeft;
- collecties aanpast waarvan hij niet expliciet is toegewezen.

De advisories zijn voorlopig privé terwijl CVE‑n worden toegekend. Verder bevat 1.35.4 updates van Rust, dependencies en GitHub Actions, het verbergen van een “remember 2FA” token, een reparatie voor uitnodigingslinks en diverse organisatiegerelateerde fixes. Voor zelfhosters: meteen updaten, toegangsrechten en organisatie‑rollen controleren en de officiële release-opmerkingen en toekomstige CVE‑details in de gaten houden.