CRITICAL🇬🇧 English

CVE-2026-3224

Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)

CVSS 9.8v3.1pub. 2026-03-03upd. 2026-03-05

Podatność w Devolutions Server umożliwia nieuwierzytelnionemu atakującemu ominięcie mechanizmu uwierzytelniania Microsoft Entra ID (Azure AD) poprzez sfałszowany token JWT. Jest to krytyczny błąd, ponieważ pozwala na pełne przejęcie tożsamości dowolnego użytkownika bez znajomości jego hasła.

Pokaż oryginał (EN)

Authentication bypass in the Microsoft Entra ID (Azure AD) authentication mode in Devolutions Server 2025.3.15.0 and earlier allows an unauthenticated user to authenticate as an arbitrary Entra ID user via a forged JSON Web Token (JWT).

🤖 Analiza AI
Jak działa

Devolutions Server w trybie uwierzytelniania Microsoft Entra ID (Azure AD) nie weryfikuje poprawnie podpisów lub zawartości tokenów JSON Web Token (JWT). Atakujący może spreparować własny token JWT, podszywając się pod dowolnego użytkownika zarejestrowanego w Entra ID. Serwer akceptuje tak sfałszowany token jako prawidłowy, co skutkuje przyznaniem sesji uwierzytelnionej bez rzeczywistej weryfikacji tożsamości.

Skutki

Atakujący może bez żadnych poświadczeń zalogować się jako dowolny użytkownik Entra ID, uzyskując pełny dostęp do zasobów, danych i funkcji dostępnych dla przejętego konta — łącznie z potencjalnym dostępem administracyjnym do Devolutions Server.

Mitygacja

Należy zaktualizować Devolutions Server do wersji nowszej niż 2025.3.15.0 zgodnie z zaleceniami producenta opublikowanymi pod adresem https://devolutions.net/security/advisories/DEVO-2026-0005/

Kogo dotyczy

Devolutions Server w wersji 2025.3.15.0 i wcześniejszych, gdy skonfigurowany jest tryb uwierzytelniania Microsoft Entra ID (Azure AD).

Uwagi

Podatność dotyczy wyłącznie instalacji korzystających z trybu uwierzytelniania Microsoft Entra ID (Azure AD). Instalacje używające innych metod uwierzytelniania nie są narażone na ten konkretny wektor ataku.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Devolutions Server

    APP
    Devolutions
    < 2025.3.16.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-3130CRITICAL9.8PL ✓ten sam produkt

Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion

CVE-2026-3204CRITICAL9.8PL ✓ten sam produkt

Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych

CVE-2026-0610CRITICAL9.8PL ✓ten sam produkt

SQL Injection w module remote-sessions Devolutions Server

CVE-2025-11957CRITICAL9.0PL ✓ten sam produkt

Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy

CVE-2025-6523CRITICAL9.5PL ✓ten sam produkt

Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych

CVE-2026-3224 — Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID) — CRITICAL 9.8 | CVEbaza.pl