Podatność w module tymczasowego dostępu w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o podstawowych uprawnieniach samodzielne zatwierdzanie własnych lub cudzych wniosków o dostęp tymczasowy. W efekcie atakujący może uzyskać nieautoryzowany dostęp do sejfów (vaults) i przechowywanych w nich wpisów (entries).
▸ Pokaż oryginał (EN)
Improper authorization in the temporary access workflow of Devolutions Server 2025.2.12.0 and earlier allows an authenticated basic user to self-approve or approve the temporary access requests of other users and gain unauthorized access to vaults and entries via crafted API requests.
Mechanizm workflow tymczasowego dostępu nie weryfikuje prawidłowo, czy użytkownik składający żądanie zatwierdzenia posiada odpowiednie uprawnienia do jego akceptacji (CWE-639: Insecure Direct Object Reference / Improper Authorization). Atakujący z kontem zwykłego użytkownika może wysyłać spreparowane żądania API (crafted API requests), które omijają kontrolę autoryzacji i pozwalają na zatwierdzenie własnego lub cudzego wniosku o dostęp tymczasowy. Nie jest wymagana interakcja ze strony administratora ani posiadanie podwyższonych uprawnień – wystarczy posiadanie ważnego konta w systemie.
Atakujący może uzyskać nieautoryzowany dostęp do sejfów i wpisów zarządzanych przez Devolutions Server, w tym potencjalnie do przechowywanych haseł, kluczy i innych poufnych danych uwierzytelniających. Możliwe jest też zatwierdzanie wniosków innych użytkowników, co prowadzi do naruszenia integralności procesu kontroli dostępu w całej organizacji.
Należy zaktualizować Devolutions Server do wersji nowszej niż 2025.2.12.0 zgodnie z zaleceniami producenta opisanymi w advisory DEVO-2025-0015 dostępnym pod adresem https://devolutions.net/security/advisories/DEVO-2025-0015/
Devolutions Server w wersji 2025.2.12.0 i wcześniejszych
Podatność dotyczy wyłącznie użytkowników uwierzytelnionych (PR:L), jednak wysoka złożoność ataku (AC:H) oraz wymagane szczególne warunki (AT:P) nieznacznie ograniczają praktyczną exploitowalność. Mimo to wysoki wpływ na zasoby podrzędne (SC:H/SI:H/SA:H) uzasadnia priorytetowe traktowanie patcha w środowiskach produkcyjnych.
CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XDevolutions Server
APPDevolutions< 2025.2.14.0
Powiązane podatności
Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion
Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)
Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych
SQL Injection w module remote-sessions Devolutions Server
Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych