CRITICAL🇬🇧 English

CVE-2024-6057

Pominięcie hasła master vault w Devolutions Remote Desktop Manager

CVSS 9.8v3.1pub. 2024-06-17upd. 2025-03-28

Podatność w mechanizmie uwierzytelniania hasła vault w Devolutions Remote Desktop Manager 2024.1.31.0 i wcześniejszych umożliwia atakującemu pominięcie zabezpieczeń master password. Jest to krytyczne zagrożenie, ponieważ może prowadzić do uzyskania pełnego dostępu do przechowywanych poświadczeń i połączeń.

Pokaż oryginał (EN)

Improper authentication in the vault password feature in Devolutions Remote Desktop Manager 2024.1.31.0 and earlier allows an attacker that has compromised an access to an RDM instance to bypass the vault master password via the offline mode feature.

🤖 Analiza AI
Jak działa

Podatność wynika z nieprawidłowej implementacji uwierzytelniania (CWE-287) w funkcji hasła vault. Atakujący, który uzyskał dostęp do instancji Remote Desktop Manager, może skorzystać z funkcji trybu offline (offline mode), aby ominąć weryfikację master password chroniącego vault. W ten sposób możliwe jest uzyskanie dostępu do zaszyfrowanych zasobów bez znajomości właściwego hasła.

Skutki

Atakujący z przejętym dostępem do instancji RDM może uzyskać pełny dostęp do zawartości vault — w tym przechowywanych poświadczeń, konfiguracji połączeń i innych wrażliwych danych — bez konieczności podania prawidłowego master password.

Mitygacja

Należy zaktualizować Devolutions Remote Desktop Manager do wersji nowszej niż 2024.1.31.0. Szczegółowe informacje o dostępnych patchach znajdują się w oficjalnym biuletynie bezpieczeństwa producenta: https://devolutions.net/security/advisories/DEVO-2024-0008

Kogo dotyczy

Devolutions Remote Desktop Manager w wersji 2024.1.31.0 oraz wszystkich wcześniejszych wersjach.

Uwagi

Podatność wymaga uprzedniego przejęcia dostępu do instancji RDM — nie jest to atak zdalny bez żadnego wstępnego dostępu, mimo że wektor CVSS wskazuje AV:N/PR:N. Należy to uwzględnić przy ocenie rzeczywistego ryzyka w środowisku organizacji.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Devolutions Remote Desktop Manager

    APP
    Devolutions
    < 2024.1.32.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-2590CRITICAL9.8PL ✓ten sam produkt

Błędne egzekwowanie zakazu zapisywania haseł w Devolutions Remote Desktop Manager

CVE-2023-6593CRITICAL9.8PL ✓ten sam produkt

Pomijanie uprawnień po stronie klienta w Devolutions Remote Desktop Manager na iOS

CVE-2023-5765CRITICAL9.8ten sam produkt

Improper access control in the password analyzer feature in Devolutions Remote Desktop Manager 2023.2.33 and e...

CVE-2023-5766CRITICAL9.8ten sam produkt

A remote code execution vulnerability in Remote Desktop Manager 2023.2.33 and earlier on Windows allows an a...

CVE-2023-4373CRITICAL9.8ten sam produkt

Inadequate validation of permissions when employing remote tools and macros within Devolutions Remote Desktop...

CVE-2024-6057 — Pominięcie hasła master vault w Devolutions Remote Desktop Manager — CRITICAL 9.8 | CVEbaza.pl