CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-3130

Critical
Published: Translated: NVD NIST

Summary

W Devolutions Server 2025.3.15 i wcześniejszych wersjach występuje niewłaściwe egzekwowanie kontroli behawioralnych, co pozwala uwierzytelnionemu atakującemu z uprawnieniami do usuwania na usunięcie konta PAM, które jest aktualnie wypożyczone, poprzez zaznaczenie go obok przynajmniej jednego konta, które nie jest wypożyczone, i wykonanie masowego usunięcia.

Risk Assessment

Atakujący może usunąć ważne konta PAM, co może prowadzić do utraty dostępu do krytycznych zasobów i zakłócenia operacji organizacji.

Recommendation

Zaleca się aktualizację Devolutions Server do najnowszej wersji, aby naprawić tę podatność oraz przegląd uprawnień użytkowników, aby ograniczyć możliwość masowego usuwania kont.

Original NVD description (English source)

Improper Enforcement of Behavioral Controls in Devolutions Server 2025.3.15 and earlier allows an authenticated attacker with the delete permission to delete a PAM account that is currently checked out by selecting it alongside at least one non-checked-out account and performing a bulk deletion.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS