CVE-2026-3224
KrytyczneStreszczenie
W Devolutions Server 2025.3.15.0 i wcześniejszych wersjach występuje luka w autoryzacji, która pozwala nieautoryzowanemu użytkownikowi na uwierzytelnienie się jako dowolny użytkownik Entra ID za pomocą sfałszowanego tokena JWT.
Ocena ryzyka
Luka ta może prowadzić do nieautoryzowanego dostępu do zasobów organizacji, co stwarza poważne zagrożenie dla bezpieczeństwa danych.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji Devolutions Server, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczających w celu ochrony przed nieautoryzowanym dostępem.
Oryginalny opis (angielski, źródło NVD)
Authentication bypass in the Microsoft Entra ID (Azure AD) authentication mode in Devolutions Server 2025.3.15.0 and earlier allows an unauthenticated user to authenticate as an arbitrary Entra ID user via a forged JSON Web Token (JWT).

