Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas.
¿Dónde está el problema?
El error, catalogado como CVE-2025-5138, reside en el PDF File Handler empleado por la función Resources de Bitwarden. El backend acepta cualquier tipo de archivo y, cuando el PDF se muestra en el navegador, el JavaScript embebido se ejecuta dentro del contexto de la aplicación. El vector requiere que el atacante disponga de una cuenta (aunque sea de bajo privilegio) y que la víctima visualice el documento, pero aun así basta para robar tokens de sesión o realizar acciones en nombre del usuario. La puntuación CVSS 3.1 provisional es 3,5 (PR:L, UI:R, I:L).
Demostración práctica
El investigador YZS17 ha publicado un proof-of-concept en GitHub. El ataque consiste en:
- Crear un proyecto dentro de Bitwarden.
- Subir el PDF malicioso.
- Esperar a que otro usuario lo abra en Chrome o un visor compatible; el código se dispara automáticamente.
Riesgos y mitigaciones
- Impacto: secuestro de sesión, robo de credenciales e instrucciones arbitrarias dentro de la bóveda.
- Sin parche oficial: Bitwarden no ha confirmado ni corregido el fallo.
- Recomendación inmediata: evitar abrir PDFs dentro de la plataforma, aplicar políticas estrictas de subida de ficheros o, si es posible, deshabilitar temporalmente la característica de adjuntos. Para entornos corporativos se aconseja evaluar gestores alternativos hasta que exista una actualización.
Más información:
- CyberSecurity News https://cybersecuritynews.com/bitwarden-pdf-file-handler-vulnerability/
- PoC de YZS17 en GitHub https://github.com/YZS17/CVE/blob/main/PDF%20XSS%20vulnerability%20in%20file%20upload%20function%20of%20%20Bitwarden.md
Deja una respuesta