CVE-2026-3224
CriticalSummary
W Devolutions Server 2025.3.15.0 i wcześniejszych wersjach występuje luka w autoryzacji, która pozwala nieautoryzowanemu użytkownikowi na uwierzytelnienie się jako dowolny użytkownik Entra ID za pomocą sfałszowanego tokena JWT.
Risk Assessment
Luka ta może prowadzić do nieautoryzowanego dostępu do zasobów organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Recommendation
Zaleca się aktualizację do najnowszej wersji Devolutions Server, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.
Original NVD description (English source)
Authentication bypass in the Microsoft Entra ID (Azure AD) authentication mode in Devolutions Server 2025.3.15.0 and earlier allows an unauthenticated user to authenticate as an arbitrary Entra ID user via a forged JSON Web Token (JWT).

