CVE-2026-3130
CriticalSummary
W Devolutions Server 2025.3.15 i wcześniejszych wersjach występuje niewłaściwe egzekwowanie kontroli behawioralnych, co pozwala uwierzytelnionemu atakującemu z uprawnieniami do usuwania na usunięcie konta PAM, które jest aktualnie wypożyczone, poprzez zaznaczenie go obok przynajmniej jednego konta, które nie jest wypożyczone, i wykonanie masowego usunięcia.
Risk Assessment
Atakujący może usunąć ważne konta PAM, co może prowadzić do utraty dostępu do krytycznych zasobów i zakłócenia operacji organizacji.
Recommendation
Zaleca się aktualizację Devolutions Server do najnowszej wersji, aby naprawić tę podatność oraz przegląd uprawnień użytkowników, aby ograniczyć możliwość masowego usuwania kont.
Original NVD description (English source)
Improper Enforcement of Behavioral Controls in Devolutions Server 2025.3.15 and earlier allows an authenticated attacker with the delete permission to delete a PAM account that is currently checked out by selecting it alongside at least one non-checked-out account and performing a bulk deletion.

