Vaultwarden is a Bitwarden-compatible server written in Rust. In versions prior to 1.35.4, the login brute-force protection can be bypassed when email 2FA is enabled on the instance. The unprotected `send_email_login` endpoint acts as an oracle for valid username-password combinations, allowing an attacker to brute-force passwords without rate-limiting. This affects all users on the instance, even those who have not configured email 2FA themselves.
CVEs
-
Vaultwarden
-
CVE-2026-43914 ‒ Brute-Force Protection Bypass in Vaultwarden via Email 2FA Endpoint
-
-
Taiga
-
Acronis Device Lock
-
Gitea
-
HP DeskJet 2855e
-
Canon imageCLASS MF654Cdw
-
PDF-XChange Editor
-
Wazuh
Disclosure Policy
Wir nehmen Responsible Disclosure ernst.
Wir halten uns an die branchenübliche 90+30 Responsible-Disclosure-Regeln. Sobald wir einen Anbieter über eine Sicherheitslücke informieren, räumen wir diesem 90 Tage Zeit ein, um einen Patch zu erstellen und den Nutzern zur Verfügung zu stellen. 30 Tage, nachdem der Patch den Nutzern zur Verfügung gestellt wurde, veröffentlicht Neodyme die Details zur Sicherheitslücke. Wenn der Anbieter ein Problem nicht innerhalb der ersten 90 Tage behebt, behält sich Neodyme das Recht vor, die Details der Sicherheitslücke nach Ablauf der 90 Tage zu veröffentlichen. Der Anbieter hat jedoch die Möglichkeit, auf Anfrage eine zusätzliche 14-tägige Verlängerung der Frist zur Veröffentlichung eines Patches zu erhalten. In einem solchen Fall wird Neodyme die Details der Sicherheitslücke 120 Tage nach der ersten Veröffentlichung bekannt geben. Diese Regelung ist inspiriert von der Responsible Disclosure Policy von Google Project Zero.