Sicherheit & Compliance
Einhaltung höchster Standards zum Schutz Ihrer Daten und zur Gewährleistung von Vertrauen.
DEVO-2026-0010
Devolutions Server ist von mehreren Schwachstellen betroffen.
Betroffene Produkte
Änderungsprotokoll
Erstveröffentlichung – 01.04.2026
CVE-2026-8407 hinzugefügt (fehlende Autorisierung bei PAM-Endpunkten) – 12.05.2026
Benutzeridentitätswechsel über externen OAuth-Authentifizierungsablauf
8.7 Hoch - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Unsachgemäße Authentifizierung im externen OAuth-Authentifizierungsablauf in Devolutions Server ermöglicht es einem authentifizierten Benutzer, sich als andere Benutzer zu authentifizieren, einschließlich Administratoren, indem ein Sitzungscode aus einem externen Authentifizierungsablauf wiederverwendet wird.
CVE(s)
CVE-2026-4829
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.12.0 oder höher, 2025.3.18 oder höher.
Danksagungen
jtof_fap
Umgehung des zweiten Authentifizierungsfaktors
7.7 Hoch - CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N
Unsachgemäße Authentifizierung in der OAuth-Anmeldefunktion in Devolutions Server ermöglicht es einem entfernten Angreifer mit gültigen Anmeldeinformationen, die Multi-Faktor-Authentifizierung über eine manipulierte Anmeldeanfrage zu umgehen.
CVE(s)
CVE-2026-4828, CVE-2026-4924
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.12 oder höher, 2025.3.18 oder höher.
Fehlende Autorisierung bei PAM-Endpunkten
7.1 Hoch - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N
Fehlende Autorisierung im PAM-Modul in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit einer PAM-Lizenz, aber ohne zusätzliche Berechtigungen, über manipulierte Anfragen an PAM-API-Endpunkte OTP-Geheimschlüssel und Wiederherstellungscodes zu erlangen.
CVE(s)
CVE-2026-8407
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.12 oder höher, 2025.3.18 oder höher.
MFA-Informationen werden an den Benutzer zurückgegeben
5.3 Mittel - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Offenlegung sensibler Informationen in der MFA-Funktion für Benutzer in Devolutions Server ermöglicht es Benutzern mit Benutzerverwaltungsprivilegien, OTP-Schlüssel anderer Benutzer über eine authentifizierte API-Anfrage zu erhalten.
CVE(s)
CVE-2026-4927
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.12 oder höher.
Umgehung der MFA-Selbstlöschungsbeschränkung
5.3 Mittel - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Unsachgemäße Zugriffskontrolle in der MFA-Funktion für Benutzer in Devolutions Server ermöglicht es einem authentifizierten Benutzer, vom Administrator erzwungene Einschränkungen zu umgehen und die eigene Multi-Faktor-Authentifizierung (MFA)-Konfiguration über eine manipulierte Anfrage zu entfernen.
CVE(s)
CVE-2026-4925, CVE-2026-5175
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.12 oder höher.
SSRF in der Gateway-Health-Check-Route
5.3 Mittel - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:L/SI:N/SA:N
Unsachgemäße Eingabevalidierung in der Gateway-Health-Check-Funktion in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit niedrigen Berechtigungen, Server-Side Request Forgery (SSRF) durchzuführen, was möglicherweise zur Offenlegung von Informationen führt, über eine manipulierte API-Anfrage.
CVE(s)
CVE-2026-4989
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.12 oder höher, 2025.3.18 oder höher.
Danksagungen
truff