CRITICAL🇬🇧 English

CVE-2026-3204

Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych

CVSS 9.8v3.1pub. 2026-03-03upd. 2026-03-05

Podatność w Devolutions Server 2025.3.16 i wcześniejszych wersjach pozwala zdalnemu atakującemu na podrobienie treści wyświetlanego komunikatu błędu poprzez odpowiednio spreparowany URL. Ocena CVSS 9.8 (CRITICAL) wynika z braku wymagań dotyczących uwierzytelnienia lub interakcji użytkownika.

Pokaż oryginał (EN)

Improper input validation in the error message page in Devolutions Server 2025.3.16 and earlier allows remote attackers to spoof the displayed error message via a specially crafted URL.

🤖 Analiza AI
Jak działa

Strona wyświetlająca komunikaty błędów w Devolutions Server nie przeprowadza właściwej walidacji danych wejściowych (CWE-20). Atakujący może skonstruować specjalnie spreparowany URL, który powoduje wyświetlenie dowolnej, kontrolowanej przez atakującego treści jako komunikatu błędu aplikacji. Mechanizm ten może być wykorzystany do wprowadzenia użytkownika w błąd co do stanu lub pochodzenia komunikatu.

Skutki

Atakujący może podszyć się pod komunikaty systemowe aplikacji, potencjalnie nakłaniając użytkowników do podjęcia niepożądanych działań, ujawnienia poświadczeń lub zaufania fałszywym informacjom prezentowanym w interfejsie Devolutions Server.

Mitygacja

Należy zaktualizować Devolutions Server do wersji nowszej niż 2025.3.16. Szczegółowe informacje o dostępnych patchach znajdują się w oficjalnym biuletynie bezpieczeństwa producenta: https://devolutions.net/security/advisories/DEVO-2026-0005

Kogo dotyczy

Devolutions Server w wersji 2025.3.16 oraz wszystkich wcześniejszych wersjach.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Devolutions Server

    APP
    Devolutions
    ≤ 2025.3.16.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-3130CRITICAL9.8PL ✓ten sam produkt

Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion

CVE-2026-3224CRITICAL9.8PL ✓ten sam produkt

Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)

CVE-2026-0610CRITICAL9.8PL ✓ten sam produkt

SQL Injection w module remote-sessions Devolutions Server

CVE-2025-11957CRITICAL9.0PL ✓ten sam produkt

Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy

CVE-2025-6523CRITICAL9.5PL ✓ten sam produkt

Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych