{
  "document" : {
    "aggregate_severity" : {
      "text" : "mittel"
    },
    "category" : "csaf_base",
    "csaf_version" : "2.0",
    "distribution" : {
      "tlp" : {
        "label" : "WHITE",
        "url" : "https://www.first.org/tlp/"
      }
    },
    "lang" : "de-DE",
    "notes" : [ {
      "category" : "legal_disclaimer",
      "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen."
    }, {
      "category" : "description",
      "text" : "Bitwarden ist eine Open-Source-Lösung für die Passwortverwaltung.",
      "title" : "Produktbeschreibung"
    }, {
      "category" : "summary",
      "text" : "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Bitwarden ausnutzen, um Informationen offenzulegen.",
      "title" : "Angriff"
    }, {
      "category" : "general",
      "text" : "- UNIX\n- Linux\n- Windows\n- Sonstiges",
      "title" : "Betroffene Betriebssysteme"
    } ],
    "publisher" : {
      "category" : "other",
      "contact_details" : "csaf-provider@cert-bund.de",
      "name" : "Bundesamt für Sicherheit in der Informationstechnik",
      "namespace" : "https://www.bsi.bund.de"
    },
    "references" : [ {
      "category" : "self",
      "summary" : "WID-SEC-W-2023-0605 - CSAF Version",
      "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-0605.json"
    }, {
      "category" : "self",
      "summary" : "WID-SEC-2023-0605 - Portal Version",
      "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-0605"
    }, {
      "category" : "external",
      "summary" : "GitHub Security Advisory vom 2023-03-08",
      "url" : "https://github.com/advisories/GHSA-9g2x-mr5w-6mrm"
    }, {
      "category" : "external",
      "summary" : "GitHub Security Advisory vom 2023-03-08",
      "url" : "https://github.com/advisories/GHSA-76q7-gm7v-vj5q"
    } ],
    "source_lang" : "en-US",
    "title" : "Bitwarden: Mehrere Schwachstellen ermöglichen Offenlegung von Informationen",
    "tracking" : {
      "current_release_date" : "2023-03-08T23:00:00.000+00:00",
      "generator" : {
        "date" : "2024-08-15T17:46:23.169+00:00",
        "engine" : {
          "name" : "BSI-WID",
          "version" : "1.3.5"
        }
      },
      "id" : "WID-SEC-W-2023-0605",
      "initial_release_date" : "2023-03-08T23:00:00.000+00:00",
      "revision_history" : [ {
        "date" : "2023-03-08T23:00:00.000+00:00",
        "number" : "1",
        "summary" : "Initiale Fassung"
      } ],
      "status" : "final",
      "version" : "1"
    }
  },
  "product_tree" : {
    "branches" : [ {
      "branches" : [ {
        "category" : "product_name",
        "name" : "Open Source Bitwarden <= 2023.2.1",
        "product" : {
          "name" : "Open Source Bitwarden <= 2023.2.1",
          "product_id" : "T026685",
          "product_identification_helper" : {
            "cpe" : "cpe:/a:bitwarden:bitwarden:2023.2.1"
          }
        }
      } ],
      "category" : "vendor",
      "name" : "Open Source"
    } ]
  },
  "vulnerabilities" : [ {
    "cve" : "CVE-2023-27974",
    "notes" : [ {
      "category" : "description",
      "text" : "In Bitwarden existieren mehrere Schwachstellen, wenn \"Auto-fill on page load\" aktiviert ist. Grund sind ungenügende \"Cross-Domain\" Validierungen bezüglich HTML \"iframes\" und einem nur bis zur zweiten Domainebene durchgeführten Domainvergleich. Ein Angreifer kann mit einer speziell gestalteten Webseite, die per iframe in einer legitimen Webseite eingebettet sein muss, Zugangsdaten des Opfers zu der legitimen Webseite offenlegen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "last_affected" : [ "T026685" ]
    },
    "release_date" : "2023-03-08T23:00:00.000+00:00",
    "title" : "CVE-2023-27974"
  }, {
    "cve" : "CVE-2018-25081",
    "notes" : [ {
      "category" : "description",
      "text" : "In Bitwarden existieren mehrere Schwachstellen, wenn \"Auto-fill on page load\" aktiviert ist. Grund sind ungenügende \"Cross-Domain\" Validierungen bezüglich HTML \"iframes\" und einem nur bis zur zweiten Domainebene durchgeführten Domainvergleich. Ein Angreifer kann mit einer speziell gestalteten Webseite, die per iframe in einer legitimen Webseite eingebettet sein muss, Zugangsdaten des Opfers zu der legitimen Webseite offenlegen. Zur erfolgreichen Ausnutzung ist eine Benutzeraktion erforderlich."
    } ],
    "product_status" : {
      "last_affected" : [ "T026685" ]
    },
    "release_date" : "2023-03-08T23:00:00.000+00:00",
    "title" : "CVE-2018-25081"
  } ]
}