CVE-2026-10787
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 - wyżej niż 8% wszystkich znanych CVE
Streszczenie
Brak autoryzacji w API grup użytkowników usuniętych w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach enumerację metadanych usuniętych grup użytkowników za pomocą odpowiednio skonstruowanego żądania API.
Ocena ryzyka
Organizacja może być narażona na ujawnienie informacji o usuniętych grupach użytkowników, co może prowadzić do dalszych ataków lub naruszeń bezpieczeństwa.
Rekomendacja
Zaleca się wprowadzenie odpowiednich mechanizmów autoryzacji w API, aby ograniczyć dostęp do metadanych usuniętych grup użytkowników.
Oryginalny opis (angielski, źródło NVD)
Missing authorization in the deleted user groups API in Devolutions Server allows an authenticated low-privileged user to enumerate metadata of deleted user groups via a crafted API request. This issue affects : * Devolutions Server 2026.2.4.0 * Devolutions Server 2026.1.20.0 and earlier

