S’ha descobert una vulnerabilitat crítica d’injecció indirecta de scripts (XSS) al popular gestor de contrasenyes Bitwarden, que afecta versions fins a la 2.25.1. 

La fallada de seguretat, designada com a CVE-2025-5138, resideix en el component PDF File Handler i permet que els atacants pengin fitxers PDF maliciosos que poden executar codi arbitrari quan els veuen els usuaris. 

Malgrat la notificació anticipada al venedor, Bitwarden no ha respost a la divulgació, i ha deixat milions d’usuaris potencialment vulnerables als atacs remots.

Vulnerabilitat Bitwarden PDF XSS

La vulnerabilitat prové de les restriccions de tipus de fitxer insuficients a la funció de càrrega de recursos de Bitwarden, que no valida correctament els documents PDF penjats. 

Segons els investigadors de seguretat, la fallada es classifica sota CWE-79 (Injecció indirecta de scripts) i se li ha assignat una puntuació base CVSS v3.1 de 3,5, que indica una gravetat moderada. 

La vulnerabilitat afecta una funcionalitat desconeguda dins del component PDF File Handler, on l’entrada controlable per l’usuari no es neutralitza correctament abans de col·locar-se a la sortida que serveix pàgines web a altres usuaris.

Quan els atacants exploten aquesta vulnerabilitat, poden manipular fitxers PDF per injectar codi JavaScript maliciós que s’executa en el context de l’aplicació Bitwarden. 

El vector d’atac requereix que l’atacant tingui accés autenticat (PR:L – Privilegis baixos necessaris) i es basa en la interacció de l’usuari (UI:R – Interacció de l’usuari necessària) per activar la càrrega útil maliciosa. 

La vulnerabilitat afecta específicament la integritat de l’aplicació (I:L – Low Impact on Integrity) mentre no manté cap efecte directe sobre la confidencialitat o la disponibilitat.

Factors de risc	Detalls
Productes afectats	Versions de Bitwarden ≤ 2.25.1 (component del gestor de fitxers PDF)
Impacte	Permet l’execució JavaScript arbitrari mitjançant PDF maliciosos, que poden permetre el segrest de sessions, el robatori de credencials o accions no autoritzades a la caixa forta de Bitwarden de l’usuari.
Requisits previs d’explotació	1. L’atacant requereix accés autenticat (privilegis baixos) 2. Interacció de l’usuari per obrir PDF maliciós 3. Depèn dels motors de renderització de PDF del navegador.
Puntuació CVSS 3.1	3,5 (mitjà)

Prova de concepte 

L’investigador de seguretat YZS17 ha publicat una prova de concepte (PoC)  detallada en la qual demostra la tècnica d’explotació a GitHub. 

L’atac segueix un procés senzill: primer, un atacant crea un nou projecte dins de la interfície de Bitwarden i, a continuació, carrega un fitxer PDF especialment dissenyat que conté codi JavaScript maliciós. 

Quan els usuaris legítims obren posteriorment el fitxer PDF mitjançant Google Chrome o altres navegadors, el codi incrustat s’executa automàticament.

El PoC revela que la vulnerabilitat explota les capacitats natives de renderització de PDF del navegador, i obvia els controls de seguretat de Bitwarden. 

El fitxer PDF maliciós aprofita tècniques d’injecció de JavaScript similars a les documentades en la investigació d’exfiltració de dades portàtils, on el control dels hiperenllaços HTTP dins dels documents PDF pot proporcionar accés al funcionament intern de PDF.

Aquesta tècnica bàsicament crea “XSS dins dels límits d’un document PDF”, i permet que els atacants executin JavaScript arbitrari i, potencialment, robar informació delicada de les caixes fortes dels usuaris.

Mitigació 

Tot i que els investigadors es van posar en contacte amb Bitwarden a principis del procés de divulgació, l’empresa no ha reconegut ni ha respost l’informe de vulnerabilitat. 

Aquesta manca de comunicació genera preocupacions sobre els procediments de resposta a incidents de Bitwarden, sobretot tenint en compte la reputació de l’empresa per les pràctiques de seguretat sòlides descrites al seu document blanc de seguretat.

Actualment, Bitwarden no ha publicat cap pegat ni contramesura oficial. Els experts en seguretat recomanen que les organitzacions que utilitzen versions afectades considerin substituir Bitwarden per una solució alternativa per a la gestió de contrasenyes fins que hi hagi una solució disponible. 

Els usuaris haurien de ser extremadament prudents quan obrin fitxers adjunts PDF a les seves caixes fortes de Bitwarden i evitar fer clic en fitxers PDF desconeguts compartits a través de la plataforma.

El descobriment de vulnerabilitats posa de manifest problemes de seguretat més amplis pel que fa a la gestió de PDF a les aplicacions web, ja que s’han identificat defectes d’injecció similars a biblioteques PDF populars com PDF-Lib i jsPDF. 

Les organitzacions haurien d’implementar una validació estricta de càrrega de fitxers, polítiques de seguretat de contingut i avaluacions de seguretat periòdiques per evitar que aquestes vulnerabilitats comprometin la seva infraestructura de gestió de contrasenyes.

Resposta de Bitwarden

Segons la resposta de Bitwarden a GBHackers News, «la versió 2.25.1 de la caixa forta web es va publicar el gener de 2022.»

«L’explotació esmentada amb els PDF en aquest informe ja no és un problema, perquè Bitwarden obliga ara a descarregar els PDF en lloc d’obrir-los en el context del navegador.»