Vulnerabilidad en Bitwarden permite ejecutar JavaScript malicioso desde archivos PDF

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS), catalogada como CVE-2025-5138, que afecta a versiones de Bitwarden hasta la 2.25.1. Esta falla permite a un atacante autenticado cargar archivos PDF manipulados que contienen JavaScript malicioso. Cuando otro usuario visualiza dicho archivo en navegadores como Google Chrome, el código se ejecuta automáticamente dentro del contexto de la aplicación, posibilitando el secuestro de sesiones, robo de credenciales o ejecución de acciones no autorizadas del lado de la víctima.

Detalle de la vulnerabilidad

CVE-2025-5138 – Criticidad Media (CVSS 3.5): La falla reside en el componente PDF File Handler del módulo «Resources». No valida correctamente el contenido incrustado en los archivos PDF, lo que permite la ejecución de código arbitrario en el navegador de quien accede a dichos archivos a través de la interfaz web de Bitwarden.

Productos o versiones afectadas

Versiones hasta la 2.25.1 en todas sus variantes que permiten visualización de archivos PDF en el navegador.

Solución

Bitwarden no ha publicado aún una actualización oficial que mitigue esta vulnerabilidad. Se recomienda evitar la visualización de PDFs desde el sistema mientras no se disponga de un parche que corrija el fallo.

Recomendaciones

  • Una vez que se publique la corrección, actualizar Bitwarden a la versión más reciente que incluya el parche de seguridad.
  • Implementar controles que detecten actividades inusuales como cargas o accesos repetidos a archivos PDF sospechosos en la plataforma.
  • Restringir la capacidad de cargar y visualizar archivos desde la interfaz de Bitwarden en ambientes corporativos.
  • Informar a los usuarios sobre los riesgos de visualizar archivos desconocidos o no verificados dentro del gestor de contraseñas.

Referencias