CRITICAL🇬🇧 English

CVE-2026-3130

Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion

CVSS 9.8v3.1pub. 2026-03-03upd. 2026-03-04

Podatność w Devolutions Server pozwala uwierzytelnionemu atakującemu z uprawnieniem do usuwania na skasowanie konta PAM (Privileged Access Management), które jest aktualnie wymeldowane (checked out), co normalnie powinno być zabronione. Jest to groźne, ponieważ może prowadzić do utraty dostępu do aktywnych sesji uprzywilejowanych oraz naruszenia integralności systemu zarządzania dostępem.

Pokaż oryginał (EN)

Improper Enforcement of Behavioral Controls in Devolutions Server 2025.3.15 and earlier allows an authenticated attacker with the delete permission to delete a PAM account that is currently checked out by selecting it alongside at least one non-checked-out account and performing a bulk deletion.

🤖 Analiza AI
Jak działa

Mechanizm kontroli behawioralnej (CWE-841) nie jest poprawnie egzekwowany podczas operacji zbiorczego usuwania (bulk deletion). Atakujący, posiadający uprawnienie do usuwania kont, może wybrać jednocześnie konto PAM aktualnie wymeldowane (checked out) wraz z co najmniej jednym kontem niewymeldowanym, a następnie wykonać operację bulk deletion. System błędnie przepuszcza całą operację, nie blokując usunięcia konta będącego w aktywnym użyciu.

Skutki

Atakujący może trwale usunąć konto PAM aktywnie używane przez innego użytkownika, co może przerwać bieżące sesje uprzywilejowane, zniszczyć dane uwierzytelniające oraz naruszyć integralność i dostępność systemu zarządzania dostępem uprzywilejowanym.

Mitygacja

Należy zaktualizować Devolutions Server do wersji nowszej niż 2025.3.15. Szczegółowe informacje o dostępnych łatkach znajdują się w oficjalnym poradniku bezpieczeństwa producenta: https://devolutions.net/security/advisories/DEVO-2026-0005

Kogo dotyczy

Devolutions Server w wersji 2025.3.15 i wcześniejszych

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Devolutions Server

    APP
    Devolutions
    < 2025.3.16.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-3204CRITICAL9.8PL ✓ten sam produkt

Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych

CVE-2026-3224CRITICAL9.8PL ✓ten sam produkt

Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)

CVE-2026-0610CRITICAL9.8PL ✓ten sam produkt

SQL Injection w module remote-sessions Devolutions Server

CVE-2025-11957CRITICAL9.0PL ✓ten sam produkt

Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy

CVE-2025-6523CRITICAL9.5PL ✓ten sam produkt

Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych