Bitwarden漏洞可能导致密码外泄

• 2025-10-22 17:51:05

Bitwarden 安全漏洞：黑客可借此窃取密码

关键要点

最近消息来自 BleepingComputer，指出密码管理服务 Bitwarden 存在一个漏洞，该漏洞位于其网页扩展的凭据自动填充功能中，可能被利用来通过网站嵌入的 iframe 进行凭据盗窃。虽然 Bitwarden 默认禁用了自动填充功能，但一旦启用，该扩展仍能够在嵌入 iframe 中填充表单，包括来自外部域名的表单。根据 Flashpoint 的报告，“虽然嵌入的 iframe 无法访问父页面中的任何内容，但它可以等待登录表单的输入，并在没有进一步用户交互的情况下将输入的凭据转发到远程服务器。”

研究人员还观察到，Bitwarden 在与登录相关的基础域名的子域上进行凭据自动填充。早在 2018 年 11 月，关于此安全问题的反馈已经向 Bitwarden 提出，但密码管理公司仍然未对此行为进行调整，以便支持使用 iframe 的合法网站。Bitwarden 表示：“由于许多流行网站使用这种模型，Bitwarden 接受 iframe 自动填充。例如，icloudcom 就使用来自 applecom 的 iframe博客文章中提到的自动填充功能在 Bitwarden 中默认是未开启的，并且在该功能的产品说明和帮助文档中对此做出了警告。”

更新信息

更新日期：3 月 15 日：Bitwarden 已对页面加载时的自动填充问题进行了修复，修复内容已在 GitHub 上合并。