CVE-2026-13372
WysokieCVSS 7.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność w Devolutions Remote Desktop Manager umożliwia uwierzytelnionemu atakującemu z dostępem do zapisu w udostępnionym obszarze roboczym wykonanie skryptu PowerShell w kontekście innego użytkownika poprzez kolizję nazw wyświetlanych z istniejącym linkiem do skryptu VPN. Problem dotyczy niestandardowego edytora VPN PowerShell w wersjach 2026.2.5 do 2026.2.11.
Ocena ryzyka
Atakujący może przejąć kontrolę nad sesją innego użytkownika, wykonując złośliwy skrypt PowerShell, co prowadzi do naruszenia poufności i integralności danych oraz potencjalnego rozprzestrzenienia się ataku w sieci.
Rekomendacja
Należy niezwłocznie zaktualizować Devolutions Remote Desktop Manager do wersji 2026.2.12 lub nowszej, która zawiera poprawkę usuwającą podatność. Dodatkowo ogranicz uprawnienia zapisu do udostępnionych obszarów roboczych tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
Incorrect link resolution by display name in the custom PowerShell VPN editor in Devolutions Remote Desktop Manager 2026.2.5 through 2026.2.11 allows an authenticated attacker with write access to a shared workspace to execute a PowerShell script in another user's context via a display name collision with an existing VPN script link.

