Sicherheit & Compliance
Höchste Standards zum Schutz Ihrer Daten und zur Gewährleistung von Vertrauen.
DEVO-2026-0005
Devolutions Server und Remote Desktop Manager sind von mehreren Schwachstellen betroffen.
Betroffene Produkte
Änderungsprotokoll
Erstveröffentlichung – 03.03.2026
Unsachgemäße Zertifikatsvalidierung in WinRM-Verbindungen hinzugefügt – 19.03.2026
Fehlerhafte Authentifizierung im Microsoft-Authentifizierungsmodus von Devolutions Server
9.5 Kritisch - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Eine Authentifizierungsumgehung im Microsoft Entra ID (Azure AD)-Authentifizierungsmodus in Devolutions Server 2025.3.15.0 und früher ermöglicht es einem nicht authentifizierten Benutzer, sich über ein gefälschtes JSON Web Token (JWT) als beliebiger Entra-ID-Benutzer zu authentifizieren.
Die E-Mail-Adresse des Opfers muss für den Erfolg des Angriffs bekannt sein.
CVE(s)
CVE-2026-3224
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2025.3.16 oder höher
Falls ein Upgrade nicht möglich ist, sollte der Microsoft-Authentifizierungsmodus deaktiviert werden.
Danksagungen
truff
Unzureichende Durchsetzung von Verhaltenskontrollen bei der PAM-Mehrkontolöschung
5.1 Mittel - CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:N
Devolutions Server 2025.3.15 und früher ermöglicht es einem authentifizierten Angreifer mit Löschberechtigung, ein aktuell ausgechecktes PAM-Konto zu löschen, indem er es zusammen mit mindestens einem nicht ausgecheckten Konto auswählt und eine Massenlöschung durchführt. Dies kann vorgesehene Schutzmaßnahmen umgehen und die Just-in-Time-Berechtigungsrücknahme (JIT) beeinträchtigen, was möglicherweise zu dauerhaft erhöhten Berechtigungen führt.
CVE(s)
CVE-2026-3130
Manipulierbare Fehlermeldungen
5.1 Mittel - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Die Fehlermeldungsseite in Devolutions Server zeigte eine in der URL bereitgestellte Nachricht an. Dies konnte von einem böswilligen Akteur genutzt werden, um gefälschte Fehlermeldungen anzuzeigen, beispielsweise bei Phishing-Versuchen.
Die Seite wurde geändert, um Fehlermeldungen basierend auf Fehlercodes anzuzeigen.
CVE(s)
CVE-2026-3204
Behebung und Workarounds
Aktualisieren Sie auf DVLS 2026.1.6 oder höher
Passwörter können gespeichert werden, wenn das Speichern von Passwörtern deaktiviert ist
2.0 Niedrig - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Passwörter einiger Verbindungstypen konnten auch dann gespeichert werden, wenn die Option „Passwortspeicherung in Tresoren deaktivieren“ in den Systemeinstellungen aktiviert ist.
Die betroffenen Verbindungstypen sind:
- AWS Dashboard
- AWS Identity and Access Management (IAM)
- Microsoft Azure Table Storage Explorer
- BeyondTrust Admin-Sitzung
- Dell iDRAC
- Google Cloud Explorer
- HP iLO
- Autofill-Anmeldung (native Anwendung)
- Proxmox-Dashboard
- Salesforce Cloud
- Splashtop-Dashboard
- TN3270
- IBM5250
- CyberArk-Dashboard
- Amazon EC2
CVE(s)
CVE-2026-2590
Behebung und Workarounds
Aktualisieren Sie auf Remote Desktop Manager 2025.3.32 oder höher, 2026.1.6 oder höher
Unsachgemäße Zertifikatsvalidierung in WinRM-Verbindungen
6.2 Mittel - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Eine unsachgemäße Zertifikatsvalidierung in den PAM-Propagation-WinRM-Verbindungen ermöglicht es einem Netzwerkangreifer, einen Man-in-the-Middle-Angriff durch deaktivierte TLS-Zertifikatsüberprüfung durchzuführen.
CVE(s)
CVE-2026-4434
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.6 oder höher