Podatność w Devolutions Server pozwala uwierzytelnionemu atakującemu z uprawnieniem do usuwania na skasowanie konta PAM (Privileged Access Management), które jest aktualnie wymeldowane (checked out), co normalnie powinno być zabronione. Jest to groźne, ponieważ może prowadzić do utraty dostępu do aktywnych sesji uprzywilejowanych oraz naruszenia integralności systemu zarządzania dostępem.
▸ Pokaż oryginał (EN)
Improper Enforcement of Behavioral Controls in Devolutions Server 2025.3.15 and earlier allows an authenticated attacker with the delete permission to delete a PAM account that is currently checked out by selecting it alongside at least one non-checked-out account and performing a bulk deletion.
Mechanizm kontroli behawioralnej (CWE-841) nie jest poprawnie egzekwowany podczas operacji zbiorczego usuwania (bulk deletion). Atakujący, posiadający uprawnienie do usuwania kont, może wybrać jednocześnie konto PAM aktualnie wymeldowane (checked out) wraz z co najmniej jednym kontem niewymeldowanym, a następnie wykonać operację bulk deletion. System błędnie przepuszcza całą operację, nie blokując usunięcia konta będącego w aktywnym użyciu.
Atakujący może trwale usunąć konto PAM aktywnie używane przez innego użytkownika, co może przerwać bieżące sesje uprzywilejowane, zniszczyć dane uwierzytelniające oraz naruszyć integralność i dostępność systemu zarządzania dostępem uprzywilejowanym.
Należy zaktualizować Devolutions Server do wersji nowszej niż 2025.3.15. Szczegółowe informacje o dostępnych łatkach znajdują się w oficjalnym poradniku bezpieczeństwa producenta: https://devolutions.net/security/advisories/DEVO-2026-0005
Devolutions Server w wersji 2025.3.15 i wcześniejszych
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDevolutions Server
APPDevolutions< 2025.3.16.0
Powiązane podatności
Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych
Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)
SQL Injection w module remote-sessions Devolutions Server
Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy
Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych