文章总结： 苏黎世联邦理工学院研究人员在Bitwarden、LastPass和Dashlane中发现25个漏洞，可绕过零知识加密导致数据泄露与篡改。漏洞涉及密钥托管、加密缺陷、共享功能及向后兼容性问题，允许恶意服务器执行密钥替换、降级攻击等。厂商已修复部分漏洞，建议用户更新客户端并启用单项密钥，同时需建立正式安全模型以应对服务器入侵威胁。 综合评分： 91 文章分类： 漏洞分析,应用安全,数据安全,云安全,漏洞预警

云端密码管理器中的25个漏洞允许未经授权的访问和修改

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月17日 14:42 辽宁

苏黎世联邦理工学院的研究人员在三款领先的云端密码管理器（Bitwarden、LastPass 和 Dashlane）中发现了 25 个严重漏洞。

这些漏洞使得恶意服务器能够绕过零知识加密声明，从而允许未经授权访问、修改和恢复用户存储的密码和保险库数据。

Bitwarden、LastPass 和 Dashlane 三家公司合计拥有超过 6000 万用户，占据着相当大的市场份额。本次分析基于完全恶意服务器威胁模型，重点关注它们的客户端-服务器交互，在该模型中，服务器会任意偏离协议。

供应商宣传“零知识加密”，暗示即使服务器遭到入侵，也无法访问明文保险库，但研究人员证明，在保密性和完整性保护方面，这种做法屡屡失败。

这 25 起攻击涵盖四类：密钥托管机制、物品级保险库加密缺陷、共享功能和向后兼容性问题。

密钥托管攻击

这些目标账户恢复和单点登录机制使得攻击者能够通过未经认证的密钥完全攻破保险库。Bitwarden 的 BW01-BW03 允许恶意自动注册、密钥轮换以及通过在加入组织或对话时进行密钥替换来转换密钥证书 (KC)。LastPass 的 LP01 也以类似的方式利用密码重置漏洞。

项目级加密缺陷

存在缺陷的逐项加密会导致完整性违规、元数据泄露、字段交换和密钥派生函数 (KDF) 降级。Bitwarden 的 BW04-BW07 版本会暴露未受保护的元数据、交换字段、解密图标，并移除迭代次数以方便暴力破解。LastPass LP02-LP06 和 Dashlane DL01 版本由于采用 AES-CBC 加密且缺少绑定，使得加密库可塑性强，容易受到重放攻击。

分享功能漏洞利用

未经身份验证的公钥会危及组织和共享密钥库的安全。Bitwarden 的 BW08-BW09 版本会注入或覆盖组织密钥；LastPass LP07 和 Dashlane DL02 版本会在用户加入时覆盖共享密钥。其影响范围可达团队级别。

向后兼容性问题

旧版代码支持会导致降级到不安全的模式，例如 CBC 模式。Bitwarden 的 BW10-BW12 版本会禁用保护并覆盖密钥；Dashlane 的 DL03-DL06 版本会在同步后启用注入、KDF 移除和“幸运 64”加密。Dashlane 已通过扩展程序 6.2544.1 修复此问题。

在 Bitwarden 中，12 种攻击包括恶意自动注册 (BW01)，其中未经身份验证的组织公钥允许在加入任何组时进行密钥替换并完全攻破保险库。

LastPass 存在七个问题，例如使用 AES-CBC 加密时密文完整性不足 (LP05)、启用可变密钥库以及字段交换等漏洞。Dashlane 存在六个漏洞，例如由于跨事务共享密钥而导致的事务重放漏洞 (DL01)，从而破坏了密钥库的完整性。

| 攻击参考 | 产品 | 原因 | 影响 | 客户互动 | | — | — | — | — | — | | BW01 | 比特沃登 | 缺少密钥认证，密钥替换 | 全面妥协 | 1 加入 | | BW02 | 比特沃登 | 密钥替换 | 全面妥协 | 1次旋转 | | BW03 | 比特沃登 | 缺少密钥认证，密钥替换 | 全面妥协 | 1 对话 | | LP01 | LastPass | 缺少密钥授权 | 全面妥协 | 1 登录 | | BW04 | 比特沃登 | 缺乏身份验证 | 读取/修改元数据 | – | | BW05 | 比特沃登 | 缺少关键信息 | 场地/物品交换 | – | | BW06 | 比特沃登 | 缺少关键信息 | 保密性丧失 | 1 个开放 | | BW07 | 比特沃登 | 缺乏身份验证 | 没有蛮力保护 | 1 登录 | | LP02 | LastPass | 缺乏身份验证 | 场地/物品交换 | – | | LP03 | LastPass | 缺少关键信息 | 保密性丧失 | 1 个开放 | | LP04 | LastPass | 缺乏身份验证 | 没有蛮力保护 | 1 登录 | | LP05 | LastPass | 缺乏身份验证 | 金库完整性丧失 | – | | DL01 | 达什莱恩 | 缺少关键信息 | 金库完整性丧失 | – | | BW08 | 比特沃登 | 缺少密钥授权 | 将用户添加到组织 | 1 同步 | | BW09 | 比特沃登 | 缺少密钥认证，密钥替换 | 组织妥协 | 1 加入 | | LP07 | LastPass | 缺少密钥授权 | 共享金库泄露 | 1 加入 | | DL02 | 达什莱恩 | 缺少密钥授权 | 共享金库泄露 | 1 加入 | | BW10 | 比特沃登 | 缺乏身份验证 | 降级关键层级 | – | | BW11 | 比特沃登 | CBC支持 | 保密性丧失 | 2 个登录名 | | BW12 | 比特沃登 | CBC支持 | 全面妥协 | 2 个登录名 | | DL03 | 达什莱恩 | CBC支持 | 金库完整性丧失 | 104次同步 | | DL04 | 达什莱恩 | CBC支持 | 没有蛮力保护 | 104次同步 | | DL05 | 达什莱恩 | CBC支持 | 保密性丧失 | 105次同步 | | DL06 | 达什莱恩 | CBC支持 | 没有蛮力保护 | 104次同步 | | LP06 | LastPass | 缺乏身份验证 | 读取/修改元数据 | – |

许多攻击只需极少的交互，例如一次登录或同步，即可利用未经认证的公钥、密钥分离缺失以及对旧版 AES-CBC 加密的支持。例如，图标 URL 解密漏洞（BW06、LP03）可通过客户端请求泄露密码。密钥派生函数 (KDF) 迭代降级（BW07、LP04）可将暴力破解速度提升高达 30 万倍。

研究人员负责任地披露了调查结果：Bitwarden 于 2025 年 1 月 27 日披露；LastPass 于 2025 年 6 月 4 日披露；Dashlane 于 2025 年 8 月 29 日披露，并给予 90 天的补救期。

Bitwarden 对多个问题进行了高级修复，包括最小 KDF 迭代次数和 CBC 移除；LastPass 解决了 LP03 问题；Dashlane 缓解了一些 CBC 问题。推荐的缓解措施包括认证加密 (AE)、完全密钥分离 (KS)、公钥认证 (PKA) 和密文签名 (SC)。

用户应更新客户端，在可用情况下启用单项密钥，并密切关注供应商补丁。该研究敦促为密码管理器建立类似于端到端加密云存储的正式安全模型。如果服务器遭到入侵，自托管部署仍然容易受到攻击。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《云端密码管理器中的25个漏洞允许未经授权的访问和修改》