Aunque el atacante necesita una cuenta, incluso con privilegios mínimos, el riesgo es considerable: basta con que otro usuario abra el archivo para que se expongan tokens de sesión o se ejecuten acciones en su nombre. Según los primeros análisis, la puntuación CVSS 3.1 preliminar es 3,5, lo que implica riesgo bajo pero con interacción del usuario y privilegios limitados.

Demostración pública

El investigador YZS17 ha publicado una prueba de concepto en GitHub que muestra cómo explotar la falla. El procedimiento incluye:

• Crear un proyecto en Bitwarden.
• Subir un archivo PDF malicioso.
• Esperar a que otro usuario lo abra en un navegador compatible (como Chrome), lo que activa el código automáticamente.

Consecuencias y medidas recomendadas

• Posibles efectos: secuestro de sesiones, robo de contraseñas y ejecución de comandos arbitrarios dentro de la bóveda.
• Sin solución oficial: Bitwarden no ha emitido ninguna actualización ni comunicado oficial hasta la fecha.
• Acción inmediata recomendada: evitar abrir archivos PDF dentro de Bitwarden, aplicar filtros estrictos para archivos subidos o desactivar temporalmente la función de adjuntos. En entornos empresariales, se recomienda considerar gestores alternativos mientras se resuelve el problema.

Recurso adicional

• Prueba de concepto en GitHub por YZS17: github.com/YZS17