Podatność w Devolutions Server 2025.3.16 i wcześniejszych wersjach pozwala zdalnemu atakującemu na podrobienie treści wyświetlanego komunikatu błędu poprzez odpowiednio spreparowany URL. Ocena CVSS 9.8 (CRITICAL) wynika z braku wymagań dotyczących uwierzytelnienia lub interakcji użytkownika.
▸ Pokaż oryginał (EN)
Improper input validation in the error message page in Devolutions Server 2025.3.16 and earlier allows remote attackers to spoof the displayed error message via a specially crafted URL.
Strona wyświetlająca komunikaty błędów w Devolutions Server nie przeprowadza właściwej walidacji danych wejściowych (CWE-20). Atakujący może skonstruować specjalnie spreparowany URL, który powoduje wyświetlenie dowolnej, kontrolowanej przez atakującego treści jako komunikatu błędu aplikacji. Mechanizm ten może być wykorzystany do wprowadzenia użytkownika w błąd co do stanu lub pochodzenia komunikatu.
Atakujący może podszyć się pod komunikaty systemowe aplikacji, potencjalnie nakłaniając użytkowników do podjęcia niepożądanych działań, ujawnienia poświadczeń lub zaufania fałszywym informacjom prezentowanym w interfejsie Devolutions Server.
Należy zaktualizować Devolutions Server do wersji nowszej niż 2025.3.16. Szczegółowe informacje o dostępnych patchach znajdują się w oficjalnym biuletynie bezpieczeństwa producenta: https://devolutions.net/security/advisories/DEVO-2026-0005
Devolutions Server w wersji 2025.3.16 oraz wszystkich wcześniejszych wersjach.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDevolutions Server
APPDevolutions≤ 2025.3.16.0
Powiązane podatności
Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion
Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)
SQL Injection w module remote-sessions Devolutions Server
Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy
Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych