Responsible Disclosure

AliasVault neemt beveiliging serieus en moedigt responsible disclosure van beveiligingskwetsbaarheden aan.

Home
Responsible Disclosure

We waarderen het werk van beveiligingsonderzoekers en ethische hackers die helpen AliasVault en onze gebruikers veilig te houden. Als je denkt dat je een beveiligingskwetsbaarheid hebt ontdekt in AliasVault, moedigen we je aan om dit op een verantwoordelijke manier te melden.

Meld beveiligingskwetsbaarheden aan: security@support.aliasvault.net

Voor volledige details over ons beveiligingsbeleid, kwetsbaarheidsclassificatie, threat model en CVE-toewijzingscriteria, raadpleeg ons volledige beveiligingsbeleid:Beveiligingsbeleid (SECURITY.md)

Commitment

We nemen responsible disclosure van beveiligingskwetsbaarheden serieus. Waar van toepassing zullen we:

Ontvangst van je rapport binnen 48 uur bevestigen
De gerapporteerde kwetsbaarheid onderzoeken en valideren
Regelmatige updates geven over onze voortgang
Je vermelden in release notes en/of security advisory (indien van toepassing)
CVE-toewijzing aanvragen waar van toepassing
Disclosure tijdlijn met je coördineren

Disclosure richtlijnen

Om de veiligheid van onze gebruikers en systemen te waarborgen, volg deze richtlijnen:

Geen gebruikersgegevens openen, aanpassen of verwijderen
Alleen de minimale interactie uitvoeren die nodig is om de kwetsbaarheid aan te tonen
Details over de kwetsbaarheid vertrouwelijk houden tot gecoördineerde openbaarmaking
Geen toepasselijke wetten of regelgeving schenden
Alleen testen op systemen die je bezit (self-hosted) of waarvoor je expliciete toestemming hebt

Scope

Dit beleid is van toepassing op AliasVault server, web client, browser extensies, mobiele apps en core cryptografische bibliotheken. Third-party dependencies, device OS kwetsbaarheden, hardware compromittering en social engineering aanvallen vallen buiten scope. Zie ons volledige beveiligingsbeleid voor complete details.

Hall of Fame

This Hall of Fame consists of security researchers who have helped make AliasVault more secure by responsibly disclosing vulnerabilities in the past. We recognize and thank these researchers for their valuable contributions:

Jorian Woltjer(Aikido Security)

March 1, 2026

criticalCVE-2026-26266

Stored cross-site scripting (XSS) in the email rendering feature of AliasVault Web Client versions 0.25.3 and lower. Email HTML content was not sufficiently sanitized or isolated before rendering. Fixed in version 0.26.0 (on 2026-01-30) with HTML sanitization (DOMPurify) and iframe sandboxing.

View AdvisoryGHSA-f65p-p65r-g53q

Neil Mark(Mobilehackinglab.com)

February 1, 2026

Security hardening

Issues were reported with Android backup and Android biometric unlock/keystore configuration. It was fixed in versions 0.26.0 and 0.26.2 as part of security hardening.

Rohit Tiwari

January 30, 2026

Security hardening

An issue was reported with stored self-XSS (safe rendering of decrypted vault content). It was fixed in version 0.26.0 as part of security hardening.

Oscar Arnflo(Security Office)

January 14, 2026

mediumCVE-2026-22694

AliasVault Android versions 0.24.0 through 0.25.2 contained an issue in how passkey requests from Android apps were validated. Under certain local conditions, a malicious app could attempt to obtain a passkey response for a site it was not authorized to access.

View AdvisoryGHSA-mvg4-wvjv-332q

Filippo Decortes(Bitcube Security)

September 19, 2025

highCVE-2025-59344

Server-Side Request Forgery (SSRF) vulnerability in favicon extraction feature allowing internal network scanning and limited data exfiltration in AliasVault API versions ≤0.23.0

View AdvisoryGHSA-f253-f7xc-w7pj