Katalog CVE

CVE-2026-3130

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W Devolutions Server 2025.3.15 i wcześniejszych wersjach występuje niewłaściwe egzekwowanie kontroli behawioralnych, co pozwala uwierzytelnionemu atakującemu z uprawnieniami do usuwania na usunięcie konta PAM, które jest aktualnie wypożyczone, poprzez zaznaczenie go obok przynajmniej jednego konta, które nie jest wypożyczone, i wykonanie masowego usunięcia.

Ocena ryzyka

Atakujący może usunąć ważne konta PAM, co może prowadzić do utraty dostępu do krytycznych zasobów i zakłócenia operacji organizacji.

Rekomendacja

Zaleca się aktualizację Devolutions Server do najnowszej wersji, aby naprawić tę podatność oraz przegląd uprawnień użytkowników, aby ograniczyć możliwość masowego usuwania kont.

Oryginalny opis (angielski, źródło NVD)

Improper Enforcement of Behavioral Controls in Devolutions Server 2025.3.15 and earlier allows an authenticated attacker with the delete permission to delete a PAM account that is currently checked out by selecting it alongside at least one non-checked-out account and performing a bulk deletion.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS