Podatność w Devolutions Remote Desktop Manager 2025.3.30 i wcześniejszych pozwala uwierzytelnionemu użytkownikowi na zapisanie poświadczeń w vault entry pomimo aktywnego ustawienia zakazującego przechowywania haseł. Może to prowadzić do nieautoryzowanego ujawnienia wrażliwych danych innym użytkownikom systemu.
▸ Pokaż oryginał (EN)
Improper enforcement of the Disable password saving in vaults setting in the connection entry component in Devolutions Remote Desktop Manager 2025.3.30 and earlier allows an authenticated user to persist credentials in vault entries, potentially exposing sensitive information to other users, by creating or editing certain connection types while password saving is disabled.
Ustawienie 'Disable password saving in vaults' nie jest prawidłowo egzekwowane w komponencie odpowiedzialnym za obsługę wpisów połączeń (connection entry). Uwierzytelniony użytkownik może obejść to ograniczenie poprzez tworzenie lub edytowanie określonych typów połączeń, co umożliwia trwałe zapisanie poświadczeń w vault entry. Mechanizm kontrolny (CWE-20: Improper Input Validation, CWE-295: Improper Certificate Validation) nie weryfikuje poprawnie stanu polityki przy wszystkich ścieżkach zapisu.
Atakujący lub nieuprawniony użytkownik może uzyskać dostęp do poświadczeń (nazw użytkownika i haseł) zapisanych przez inne osoby w ramach tego samego vault, co może prowadzić do przejęcia kont i dalszego naruszenia bezpieczeństwa środowiska.
Należy zaktualizować Devolutions Remote Desktop Manager do wersji nowszej niż 2025.3.30 zgodnie z zaleceniami producenta dostępnymi pod adresem https://devolutions.net/security/advisories/DEVO-2026-0005
Devolutions Remote Desktop Manager w wersji 2025.3.30 i wcześniejszych
Pomimo oceny CVSS 9.8 (CRITICAL), podatność wymaga uwierzytelnienia, co w praktyce ogranicza powierzchnię ataku do użytkowników posiadających już dostęp do środowiska. Wektor sieciowy (AV:N) bez wymogu interakcji użytkownika (UI:N) uzasadnia jednak wysoką ocenę CVSS.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDevolutions Remote Desktop Manager
APPDevolutions≤ 2025.3.30.0
Powiązane podatności
Pominięcie hasła master vault w Devolutions Remote Desktop Manager
Pomijanie uprawnień po stronie klienta w Devolutions Remote Desktop Manager na iOS
Improper access control in the password analyzer feature in Devolutions Remote Desktop Manager 2023.2.33 and e...
A remote code execution vulnerability in Remote Desktop Manager 2023.2.33 and earlier on Windows allows an a...
Inadequate validation of permissions when employing remote tools and macros within Devolutions Remote Desktop...