Sicherheit & Compliance
Höchste Standards zum Schutz Ihrer Daten und zur Gewährleistung von Vertrauen.
DEVO-2026-0005
Devolutions Server und Remote Desktop Manager sind von mehreren Schwachstellen betroffen.
Betroffene Produkte
Änderungsprotokoll
Erstveröffentlichung – 03.03.2026
Unsachgemäße Zertifikatsvalidierung in WinRM-Verbindungen hinzugefügt – 19.03.2026
9.5 Critical - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Fehlerhafte Authentifizierung im Microsoft-Authentifizierungsmodus von Devolutions Server
Eine Authentifizierungsumgehung im Microsoft Entra ID (Azure AD)-Authentifizierungsmodus in Devolutions Server 2025.3.15.0 und früher ermöglicht es einem nicht authentifizierten Benutzer, sich über ein gefälschtes JSON Web Token (JWT) als beliebiger Entra-ID-Benutzer zu authentifizieren.
Die E-Mail-Adresse des Opfers muss für den Erfolg des Angriffs bekannt sein.
Betroffene Produkte
CVE(s)
CVE-2026-3224
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2025.3.16 oder höher
Falls ein Upgrade nicht möglich ist, sollte der Microsoft-Authentifizierungsmodus deaktiviert werden.
Danksagungen
truff
5.1 Medium - CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:N
Unzureichende Durchsetzung von Verhaltenskontrollen bei der PAM-Mehrkontolöschung
Devolutions Server 2025.3.15 und früher ermöglicht es einem authentifizierten Angreifer mit Löschberechtigung, ein aktuell ausgechecktes PAM-Konto zu löschen, indem er es zusammen mit mindestens einem nicht ausgecheckten Konto auswählt und eine Massenlöschung durchführt. Dies kann vorgesehene Schutzmaßnahmen umgehen und die Just-in-Time-Berechtigungsrücknahme (JIT) beeinträchtigen, was möglicherweise zu dauerhaft erhöhten Berechtigungen führt.
5.1 Medium - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Manipulierbare Fehlermeldungen
Die Fehlermeldungsseite in Devolutions Server zeigte eine in der URL bereitgestellte Nachricht an. Dies konnte von einem böswilligen Akteur genutzt werden, um gefälschte Fehlermeldungen anzuzeigen, beispielsweise bei Phishing-Versuchen.
Die Seite wurde geändert, um Fehlermeldungen basierend auf Fehlercodes anzuzeigen.
Betroffene Produkte
CVE(s)
CVE-2026-3204
Behebung und Workarounds
Aktualisieren Sie auf DVLS 2026.1.6 oder höher
2.0 Low - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Passwörter können gespeichert werden, wenn das Speichern von Passwörtern deaktiviert ist
Passwörter einiger Verbindungstypen konnten auch dann gespeichert werden, wenn die Option „Passwortspeicherung in Tresoren deaktivieren“ in den Systemeinstellungen aktiviert ist.
Die betroffenen Verbindungstypen sind:
- AWS Dashboard
- AWS Identity and Access Management (IAM)
- Microsoft Azure Table Storage Explorer
- BeyondTrust Admin-Sitzung
- Dell iDRAC
- Google Cloud Explorer
- HP iLO
- Autofill-Anmeldung (native Anwendung)
- Proxmox-Dashboard
- Salesforce Cloud
- Splashtop-Dashboard
- TN3270
- IBM5250
- CyberArk-Dashboard
- Amazon EC2
Betroffene Produkte
CVE(s)
CVE-2026-2590
Behebung und Workarounds
Aktualisieren Sie auf Remote Desktop Manager 2025.3.32 oder höher, 2026.1.6 oder höher
6.2 Medium - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Unsachgemäße Zertifikatsvalidierung in WinRM-Verbindungen
Eine unsachgemäße Zertifikatsvalidierung in den PAM-Propagation-WinRM-Verbindungen ermöglicht es einem Netzwerkangreifer, einen Man-in-the-Middle-Angriff durch deaktivierte TLS-Zertifikatsüberprüfung durchzuführen.
Betroffene Produkte
CVE(s)
CVE-2026-4434
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.6 oder höher