CRITICAL🇬🇧 English

CVE-2026-2590

Błędne egzekwowanie zakazu zapisywania haseł w Devolutions Remote Desktop Manager

CVSS 9.8v3.1pub. 2026-03-03upd. 2026-05-10

Podatność w Devolutions Remote Desktop Manager 2025.3.30 i wcześniejszych pozwala uwierzytelnionemu użytkownikowi na zapisanie poświadczeń w vault entry pomimo aktywnego ustawienia zakazującego przechowywania haseł. Może to prowadzić do nieautoryzowanego ujawnienia wrażliwych danych innym użytkownikom systemu.

Pokaż oryginał (EN)

Improper enforcement of the Disable password saving in vaults setting in the connection entry component in Devolutions Remote Desktop Manager 2025.3.30 and earlier allows an authenticated user to persist credentials in vault entries, potentially exposing sensitive information to other users, by creating or editing certain connection types while password saving is disabled.

🤖 Analiza AI
Jak działa

Ustawienie 'Disable password saving in vaults' nie jest prawidłowo egzekwowane w komponencie odpowiedzialnym za obsługę wpisów połączeń (connection entry). Uwierzytelniony użytkownik może obejść to ograniczenie poprzez tworzenie lub edytowanie określonych typów połączeń, co umożliwia trwałe zapisanie poświadczeń w vault entry. Mechanizm kontrolny (CWE-20: Improper Input Validation, CWE-295: Improper Certificate Validation) nie weryfikuje poprawnie stanu polityki przy wszystkich ścieżkach zapisu.

Skutki

Atakujący lub nieuprawniony użytkownik może uzyskać dostęp do poświadczeń (nazw użytkownika i haseł) zapisanych przez inne osoby w ramach tego samego vault, co może prowadzić do przejęcia kont i dalszego naruszenia bezpieczeństwa środowiska.

Mitygacja

Należy zaktualizować Devolutions Remote Desktop Manager do wersji nowszej niż 2025.3.30 zgodnie z zaleceniami producenta dostępnymi pod adresem https://devolutions.net/security/advisories/DEVO-2026-0005

Kogo dotyczy

Devolutions Remote Desktop Manager w wersji 2025.3.30 i wcześniejszych

Uwagi

Pomimo oceny CVSS 9.8 (CRITICAL), podatność wymaga uwierzytelnienia, co w praktyce ogranicza powierzchnię ataku do użytkowników posiadających już dostęp do środowiska. Wektor sieciowy (AV:N) bez wymogu interakcji użytkownika (UI:N) uzasadnia jednak wysoką ocenę CVSS.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Devolutions Remote Desktop Manager

    APP
    Devolutions
    ≤ 2025.3.30.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-6057CRITICAL9.8PL ✓ten sam produkt

Pominięcie hasła master vault w Devolutions Remote Desktop Manager

CVE-2023-6593CRITICAL9.8PL ✓ten sam produkt

Pomijanie uprawnień po stronie klienta w Devolutions Remote Desktop Manager na iOS

CVE-2023-5765CRITICAL9.8ten sam produkt

Improper access control in the password analyzer feature in Devolutions Remote Desktop Manager 2023.2.33 and e...

CVE-2023-5766CRITICAL9.8ten sam produkt

A remote code execution vulnerability in Remote Desktop Manager 2023.2.33 and earlier on Windows allows an a...

CVE-2023-4373CRITICAL9.8ten sam produkt

Inadequate validation of permissions when employing remote tools and macros within Devolutions Remote Desktop...