Bitwarden Server prior to v2026.4.1 contains a missing authorization vulnerability that allows any authenticated user to write ciphers into an arbitrary organization via `POST /ciphers/import-organization` by submitting an empty `collections` array, which causes the server-side permission check to be skipped.
Bitwarden Server versions before 2026.4.1 contain a missing authorization vulnerability allowing authenticated users to write ciphers to arbitrary organizations by exploiting the import endpoint with an empty collections array. This bypasses server-side permission checks and could lead to unauthorized data manipulation across organizations.
يحتوي خادم Bitwarden على ثغرة تفويض مفقودة في نقطة نهاية استيراد التشفيرات التنظيمية. يمكن للمستخدمين المصرح لهم استغلال هذه الثغرة بإرسال مصفوفة مجموعات فارغة لتجاوز فحوصات الأذونات على جانب الخادم. قد يؤدي هذا إلى وصول غير مصرح به وتعديل بيانات المنظمات الأخرى.
خادم Bitwarden الإصدارات السابقة للإصدار 2026.4.1 تحتوي على ثغرة تفويض مفقودة تسمح للمستخدمين المصرح لهم بكتابة التشفيرات إلى منظمات عشوائية. يمكن استغلال هذه الثغرة من خلال نقطة نهاية الاستيراد باستخدام مصفوفة مجموعات فارغة.
Upgrade Bitwarden Server to version 2026.4.1 or later immediately. Verify all organization memberships and audit cipher imports for unauthorized entries. Implement network segmentation to restrict access to Bitwarden administrative interfaces.
قم بترقية خادم Bitwarden إلى الإصدار 2026.4.1 أو أحدث على الفور. تحقق من جميع عضويات المنظمة وتدقيق استيرادات التشفيرات للبحث عن إدخالات غير مصرح بها. طبق تقسيم الشبكة لتقييد الوصول إلى واجهات إدارة Bitwarden.