Podatność w Devolutions Server umożliwia nieuwierzytelnionemu atakującemu ominięcie mechanizmu uwierzytelniania Microsoft Entra ID (Azure AD) poprzez sfałszowany token JWT. Jest to krytyczny błąd, ponieważ pozwala na pełne przejęcie tożsamości dowolnego użytkownika bez znajomości jego hasła.
▸ Pokaż oryginał (EN)
Authentication bypass in the Microsoft Entra ID (Azure AD) authentication mode in Devolutions Server 2025.3.15.0 and earlier allows an unauthenticated user to authenticate as an arbitrary Entra ID user via a forged JSON Web Token (JWT).
Devolutions Server w trybie uwierzytelniania Microsoft Entra ID (Azure AD) nie weryfikuje poprawnie podpisów lub zawartości tokenów JSON Web Token (JWT). Atakujący może spreparować własny token JWT, podszywając się pod dowolnego użytkownika zarejestrowanego w Entra ID. Serwer akceptuje tak sfałszowany token jako prawidłowy, co skutkuje przyznaniem sesji uwierzytelnionej bez rzeczywistej weryfikacji tożsamości.
Atakujący może bez żadnych poświadczeń zalogować się jako dowolny użytkownik Entra ID, uzyskując pełny dostęp do zasobów, danych i funkcji dostępnych dla przejętego konta — łącznie z potencjalnym dostępem administracyjnym do Devolutions Server.
Należy zaktualizować Devolutions Server do wersji nowszej niż 2025.3.15.0 zgodnie z zaleceniami producenta opublikowanymi pod adresem https://devolutions.net/security/advisories/DEVO-2026-0005/
Devolutions Server w wersji 2025.3.15.0 i wcześniejszych, gdy skonfigurowany jest tryb uwierzytelniania Microsoft Entra ID (Azure AD).
Podatność dotyczy wyłącznie instalacji korzystających z trybu uwierzytelniania Microsoft Entra ID (Azure AD). Instalacje używające innych metod uwierzytelniania nie są narażone na ten konkretny wektor ataku.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDevolutions Server
APPDevolutions< 2025.3.16.0
Powiązane podatności
Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion
Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych
SQL Injection w module remote-sessions Devolutions Server
Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy
Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych