Sicherheit & Compliance
Höchste Standards zum Schutz Ihrer Daten und zur Gewährleistung von Vertrauen.
DEVO-2025-0018
Devolutions Server ist von mehreren Schwachstellen betroffen.
Betroffene Produkte
Änderungsprotokoll
2025-11-27 - Erstveröffentlichung 2026-03-04 - Aktualisiert fix version from 2025.3.9 to 2025.3.10
9.4 Critical - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
SQL Injection in den letzten Nutzungsprotokollen
Eine SQL Injection über den DateSortField-Parameter in den letzten Nutzungsprotokollen ermöglicht es authentifizierten Benutzern, Daten zu exfiltrieren oder zu ändern.
Betroffene Produkte
CVE(s)
CVE-2025-13757
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2025.2.21 oder höher, 2025.3.10 oder höher.
Danksagungen
JaGoTu, DCIT a.s.
Medium 5.1 - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Anmeldedaten in partiellen Verbindungsanfragen enthalten
Einträge in DVLS werden in zwei separaten Anfragen abgerufen. Die erste Anfrage enthält allgemeine Informationen zur Anzeige wie Name, Benutzername, Erstellungsdatum usw. Anmeldedaten wie Passwörter werden über eine /sensitive-data-Anfrage abgerufen, wenn der Benutzer auf die Anmeldedaten zugreift. Einige Eintragstypen enthielten fälschlicherweise Passwörter in der ersten Anfrage.
Betroffene Produkte
CVE(s)
CVE-2025-13758
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2025.2.21 oder höher; 2025.3.10 oder höher.
Danksagungen
JaGoTu, DCIT a.s.
4.9 Medium - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:H/SA:N
Unzureichende Zugriffskontrolle in der E-Mail-Dienstkomponente
Die API zur E-Mail-Dienstkonfiguration gab E-Mail-Dienst-Passwörter an Benutzer ohne Administratorrechte zurück, wenn mehrere E-Mail-Dienste konfiguriert waren.
Betroffene Produkte
CVE(s)
CVE-2025-13765
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2025.2.21 oder höher; 2025.3.10 oder höher