Lo último:
Seguridad

Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs

Gustavo Genez

Una investigación reciente ha sacado a la luz un fallo de cross-site scripting (XSS) en Bitwarden (≤ v2.25.1) que permite a un atacante subir un PDF especialmente manipulado y ejecutar código en el navegador de cualquier usuario que lo abra. La empresa sigue sin responder, por lo que millones de bóvedas de contraseñas permanecen expuestas.

¿Dónde está el problema?

El error, catalogado como CVE-2025-5138, reside en el PDF File Handler empleado por la función Resources de Bitwarden. El backend acepta cualquier tipo de archivo y, cuando el PDF se muestra en el navegador, el JavaScript embebido se ejecuta dentro del contexto de la aplicación. El vector requiere que el atacante disponga de una cuenta (aunque sea de bajo privilegio) y que la víctima visualice el documento, pero aun así basta para robar tokens de sesión o realizar acciones en nombre del usuario. La puntuación CVSS 3.1 provisional es 3,5 (PR:L, UI:R, I:L).

Demostración práctica

El investigador YZS17 ha publicado un proof-of-concept en GitHub. El ataque consiste en:

  1. Crear un proyecto dentro de Bitwarden.
  2. Subir el PDF malicioso.
  3. Esperar a que otro usuario lo abra en Chrome o un visor compatible; el código se dispara automáticamente.

Riesgos y mitigaciones

  • Impacto: secuestro de sesión, robo de credenciales e instrucciones arbitrarias dentro de la bóveda.
  • Sin parche oficial: Bitwarden no ha confirmado ni corregido el fallo.
  • Recomendación inmediata: evitar abrir PDFs dentro de la plataforma, aplicar políticas estrictas de subida de ficheros o, si es posible, deshabilitar temporalmente la característica de adjuntos. Para entornos corporativos se aconseja evaluar gestores alternativos hasta que exista una actualización.

Más información:

La entrada Bitwarden expone a sus usuarios a JavaScript malicioso incrustado en PDFs se publicó primero en Una Al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.

También te puede gustar

Distribución de Phishings a través de servicios legítimos

Gustavo Genez

Descubierto malware de suscripción a servicios premium en Google Play

Gustavo Genez

Cursos Online de Seguridad Informática & hacking para Diciembre de 2024 en HackBySecurity

Gustavo Genez