Sicherheit & Compliance
Höchste Standards zum Schutz Ihrer Daten und zur Gewährleistung von Vertrauen.
DEVO-2025-0018
Devolutions Server ist von mehreren Schwachstellen betroffen.
Betroffene Produkte
Änderungsprotokoll
2025-11-27 - Erstveröffentlichung 2026-03-04 - Aktualisiert fix version from 2025.3.9 to 2025.3.10
SQL Injection in den letzten Nutzungsprotokollen
9.4 Kritisch - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Eine SQL Injection über den DateSortField-Parameter in den letzten Nutzungsprotokollen ermöglicht es authentifizierten Benutzern, Daten zu exfiltrieren oder zu ändern.
CVE(s)
CVE-2025-13757
Behebung und Workarounds
Danksagungen
JaGoTu, DCIT a.s.
Anmeldedaten in partiellen Verbindungsanfragen enthalten
Mittel 5.1 - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Einträge in DVLS werden in zwei separaten Anfragen abgerufen. Die erste Anfrage enthält allgemeine Informationen zur Anzeige wie Name, Benutzername, Erstellungsdatum usw. Anmeldedaten wie Passwörter werden über eine /sensitive-data-Anfrage abgerufen, wenn der Benutzer auf die Anmeldedaten zugreift. Einige Eintragstypen enthielten fälschlicherweise Passwörter in der ersten Anfrage.
CVE(s)
CVE-2025-13758
Behebung und Workarounds
Danksagungen
JaGoTu, DCIT a.s.
Unzureichende Zugriffskontrolle in der E-Mail-Dienstkomponente
4.9 Mittel - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:H/SA:N
Die API zur E-Mail-Dienstkonfiguration gab E-Mail-Dienst-Passwörter an Benutzer ohne Administratorrechte zurück, wenn mehrere E-Mail-Dienste konfiguriert waren.
CVE(s)
CVE-2025-13765
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2025.2.21 oder höher; 2025.3.10 oder höher