CVE-2026-3130
KrytyczneStreszczenie
W Devolutions Server 2025.3.15 i wcześniejszych wersjach występuje niewłaściwe egzekwowanie kontroli behawioralnych, co pozwala uwierzytelnionemu atakującemu z uprawnieniami do usuwania na usunięcie konta PAM, które jest aktualnie wypożyczone, poprzez zaznaczenie go obok przynajmniej jednego konta, które nie jest wypożyczone, i wykonanie masowego usunięcia.
Ocena ryzyka
Atakujący może usunąć ważne konta PAM, co może prowadzić do utraty dostępu do krytycznych zasobów i zakłócenia operacji organizacji.
Rekomendacja
Zaleca się aktualizację Devolutions Server do najnowszej wersji, aby naprawić tę podatność oraz przegląd uprawnień użytkowników, aby ograniczyć możliwość masowego usuwania kont.
Oryginalny opis (angielski, źródło NVD)
Improper Enforcement of Behavioral Controls in Devolutions Server 2025.3.15 and earlier allows an authenticated attacker with the delete permission to delete a PAM account that is currently checked out by selecting it alongside at least one non-checked-out account and performing a bulk deletion.

