Sicherheit & Compliance
Höchste Standards zum Schutz Ihrer Daten und zur Gewährleistung von Vertrauen.
DEVO-2026-0005
Devolutions Server und Remote Desktop Manager sind von mehreren Schwachstellen betroffen.
Betroffene Produkte
Änderungsprotokoll
Erstveröffentlichung - 2026-03-03
9.5 Critical - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Fehlerhafte Authentifizierung im Microsoft-Authentifizierungsmodus von Devolutions Server
Eine Authentifizierungsumgehung im Microsoft Entra ID (Azure AD)-Authentifizierungsmodus in Devolutions Server 2025.3.15.0 und früher ermöglicht es einem nicht authentifizierten Benutzer, sich über ein gefälschtes JSON Web Token (JWT) als beliebiger Entra-ID-Benutzer zu authentifizieren.
Die E-Mail-Adresse des Opfers muss für den Erfolg des Angriffs bekannt sein.
Betroffene Produkte
CVE(s)
CVE-2026-3224
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2025.3.16 oder höher
Falls ein Upgrade nicht möglich ist, sollte der Microsoft-Authentifizierungsmodus deaktiviert werden.
Danksagungen
truff
5.1 Medium - CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:N
Unzureichende Durchsetzung von Verhaltenskontrollen bei der PAM-Mehrkontolöschung
Devolutions Server 2025.3.15 und früher ermöglicht es einem authentifizierten Angreifer mit Löschberechtigung, ein aktuell ausgechecktes PAM-Konto zu löschen, indem er es zusammen mit mindestens einem nicht ausgecheckten Konto auswählt und eine Massenlöschung durchführt. Dies kann vorgesehene Schutzmaßnahmen umgehen und die Just-in-Time-Berechtigungsrücknahme (JIT) beeinträchtigen, was möglicherweise zu dauerhaft erhöhten Berechtigungen führt.
Betroffene Produkte
CVE(s)
CVE-2026-3130
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2025.3.16 oder 2026.1
5.1 Medium - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Manipulierbare Fehlermeldungen
Die Fehlermeldungsseite in Devolutions Server zeigte eine in der URL bereitgestellte Nachricht an. Dies konnte von einem böswilligen Akteur genutzt werden, um gefälschte Fehlermeldungen anzuzeigen, beispielsweise bei Phishing-Versuchen.
Die Seite wurde geändert, um Fehlermeldungen basierend auf Fehlercodes anzuzeigen.
Betroffene Produkte
CVE(s)
CVE-2026-3204
Behebung und Workarounds
Aktualisieren Sie auf DVLS 2026.1
2.0 Low - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Passwörter können gespeichert werden, wenn das Speichern von Passwörtern deaktiviert ist
Passwörter einiger Verbindungstypen konnten auch dann gespeichert werden, wenn die Option „Passwortspeicherung in Tresoren deaktivieren“ in den Systemeinstellungen aktiviert ist.
Die betroffenen Verbindungstypen sind:
- AWS Dashboard
- AWS Identity and Access Management (IAM)
- Microsoft Azure Table Storage Explorer
- BeyondTrust Admin-Sitzung
- Dell iDRAC
- Google Cloud Explorer
- HP iLO
- Autofill-Anmeldung (native Anwendung)
- Proxmox-Dashboard
- Salesforce Cloud
- Splashtop-Dashboard
- TN3270
- IBM5250
- CyberArk-Dashboard
- Amazon EC2
Betroffene Produkte
CVE(s)
CVE-2026-2590
Behebung und Workarounds
Aktualisieren Sie auf Remote Desktop Manager 2026.1
6.2 Medium - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Improper certificate validation in WinRM connections
Improper certificate validation in the PAM propagation WinRM connections allows a network attacker to perform a man-in-the-middle attack via disabled TLS certificate verification.
Affected Products
CVE(s)
CVE-2026-4434
Remediation and Workarounds
Upgrade to Devolutions Server 2026.1