Vaultwarden 1.36.0: Sechs CVEs, SSO-Fixes und Item-Archive

Self-Hoster, aufgepasst: Daniel García hat am 3. Mai 2026 die Vaultwarden 1.36.0 veröffentlicht — und im Gepäck stecken gleich sechs Sicherheits-Advisorys, die du nicht offen lassen willst. Vaultwarden ist die schlanke Rust-Reimplementierung des Bitwarden-Servers und läuft in zigtausenden Homelabs als zentraler Passwort-Tresor. Genau deshalb darf hier kein Patch liegenbleiben.

SCHOCK: Sechs CVEs auf einen Streich

Die Liste hat es in sich. Mit dabei sind zwei CSRF-Lücken im SSO-Login-Flow, zwei Schwachstellen im SSO-Binding für bestehende User, eine User- und Organization-Enumeration und ein Server-Side Request Forgery im Icon-Endpoint. Damit lassen sich nicht nur Login-Bypässe basteln, sondern auch Informationen über vorhandene Konten abgreifen — eine Steilvorlage für Phishing.

UNGLAUBLICH: Item-Archive endlich da

Funktional bringt 1.36.0 das lang gewünschte Item-Archiv: Anmeldedaten, die du nicht mehr aktiv brauchst, kannst du jetzt einfach archivieren statt zu löschen. Sie verschwinden aus dem Hauptview, bleiben aber für Audits und alte Backups erreichbar. Dazu kommt ein neuer Prelogin-Endpoint, der den Login-Flow synchron mit aktuellen Bitwarden-Clients hält.

GEFAHR! Web-Vault muss mit auf 2026.4.1

Beim Container-Update musst du zwei Dinge mitziehen: das Vaultwarden-Backend selbst und das Web-Vault auf Version 2026.4.1. Wer nur das Backend patcht, riskiert Inkonsistenzen, weil die SSO-Fixes Frontend-seitige Änderungen brauchen.

So rettest du deinen Tresor in 5 MINUTEN!

Für Docker-Compose-Setups reicht docker compose pull && docker compose up -d. Bei manuell gebauten Setups vor dem Update unbedingt ein Snapshot der data/-Volumes ziehen, weil die Crates-Updates auch SQLite-Migrationen beinhalten. Anschließend testest du den Login mit aktivem SSO-Provider auf einem zweiten Browser, damit du sicher gehst, dass die CSRF-Tokens wieder sauber durchlaufen.

EXTRA-TIPP: Reverse-Proxy-Header checken

Wer Vaultwarden hinter Caddy, Traefik oder Nginx Proxy Manager betreibt, sollte parallel die X-Forwarded-Header kontrollieren — die SSRF-Fixes ändern, wie das Icon-Modul externe URLs auflöst. Falls du eigene Allow-Lists für ausgehende Requests gesetzt hast, lohnt ein Blick in die Release-Notes auf GitHub.

FAZIT: Pflicht-Update, kein Nice-to-have

Vaultwarden 1.36.0 ist kein optionales Feature-Update, sondern ein Sicherheits-Release. Wer SSO im Einsatz hat, sollte heute Abend noch updaten — die kombinierten CSRF- und Enumeration-Lücken lassen sich aus der Ferne ausnutzen und schaffen ein gutes Sprungbrett für gezielte Phishing-Angriffe auf einzelne User.

Häufige Fragen

Welche Versionen sind betroffen?

Alle Vaultwarden-Versionen unter 1.36.0 sind potenziell anfällig für die genannten Schwachstellen. Besonders relevant sind die SSO-bezogenen Fixes: Wer Vaultwarden mit Keycloak, Authentik oder Authelia als Identity-Provider gekoppelt hat, sollte das Update priorisieren, da sich CSRF- und Binding-Lücken in diesem Pfad häufen.

Wie merke ich, ob mein System verwundbar ist?

Im Admin-Panel von Vaultwarden steht oben die Version. Liegt sie unter 1.36.0, bist du dran. Zusätzlich kannst du im Server-Log nach Requests auf den Icon-Endpoint und auf SSO-Callback-Routen schauen — auffällige Spikes von externen IPs sind ein Indiz für Probing-Versuche.

Wie behebe ich das Problem konkret?

Container neu pullen, anschließend Container neu starten und parallel das Web-Vault-Image auf 2026.4.1 mitziehen. Bei nativ kompilierten Setups die neuesten Crates über cargo build aktualisieren und den Web-Vault-Build-Ordner aus dem aktuellen Release-Tarball ersetzen. Vor jedem Schritt einen Datenbank-Snapshot anlegen.

Gab es schon aktive Angriffe?

Öffentliche Exploit-Pakete sind bisher nicht bekannt. Die SSO-CSRF-Lücken sind aber konzeptionell so einfach, dass binnen weniger Tage Proof-of-Concept-Scripte auftauchen dürften. Für öffentlich erreichbare Vaultwarden-Instanzen gilt deshalb: Lieber heute updaten als am Wochenende den Vorfall analysieren.

Quellen: GitHub Vaultwarden Releases, WinterFlow VaultWarden Release Notes, wz-it Vaultwarden 1.36 NIS2.

VAULTWARDEN-HAMMER! v1.36.0 schließt JETZT SECHS Sicherheitsfallen — DEIN Self-Hosted Tresor muss SOFORT updaten