Sicherheit & Compliance
Höchste Standards zum Schutz Ihrer Daten und zur Gewährleistung von Vertrauen.
DEVO-2026-0013
Devolutions Server ist von mehreren Schwachstellen betroffen.
Betroffene Produkte
Änderungsprotokoll
Erstveröffentlichung – 21.05.2026
Umgehung der Multi-Faktor-Authentifizierung
7.5 Hoch - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N
Unsachgemäße Handhabung des Faktorschlüsselzustands in der Verwaltungsfunktion für Multi-Faktor-Authentifizierung in Devolutions Server ermöglicht es einem Angreifer, der das Passwort eines Benutzers kennt, die Multi-Faktor-Authentifizierung des Benutzers zu umgehen, nachdem dieser seine Faktoren neu konfiguriert hat.
CVE(s)
CVE-2026-9047
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher.
LDAP-Erzwingung, die Authentifizierungsmaterial des PAM-Anbieters offenlegt
7.1 Hoch - CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N
Eine unsachgemäße Autorisierung in der Active Directory-Browsing-Funktion in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit niedrigen Berechtigungen, über eine Authentifizierungsweiterleitung an einen vom Angreifer kontrollierten Server Authentifizierungsmaterial zu erlangen, das mit einem gespeicherten PAM-Provider-Dienstkonto verknüpft ist.
CVE(s)
CVE-2026-7325
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Danksagungen
jtof_fap
Fehlende Autorisierung bei der Tresorerstellung während des Imports
5.3 Mittel - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Fehlende Autorisierung in der Tresor-Importfunktion in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit geringen Berechtigungen, über eine manipulierte Importanfrage neue Tresore zu erstellen.
CVE(s)
CVE-2026-9223
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher.
Umgehung der ausstehenden Genehmigung durch Änderung des Eintragsstatus
5.3 Mittel - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N
Fehlende Autorisierung in der Funktion zur Verwaltung des Eintragsstatus in Devolutions Server ermöglicht es einem authentifizierten Benutzer ohne Administratorrechte, den vom Administrator erzwungenen Genehmigungsworkflow zu umgehen und über eine manipulierte Statusänderungsanfrage Zugriff auf die Daten eines Eintrags zu erlangen.
CVE(s)
CVE-2026-9251
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Unsachgemäße Zugriffskontrolle auf Eintrags-Aktivitätsprotokolle
4.3 Mittel - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Unsachgemäße Zugriffskontrolle in der Eintrags-Aktivitätsprotokoll-Funktion in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Zugriff auf einen Eintrag, aber ohne die erforderliche Berechtigung, die Aktivitätsprotokolle dieses Eintrags über eine manipulierte API-Anfrage abzurufen.
CVE(s)
CVE-2026-5171
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Danksagungen
Supr4s
Umgehung der Benachrichtigung für versiegelte Einträge
2.7 Niedrig - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N
Unsachgemäße Durchsetzung des Sealed-Entry-Workflows in der Funktion zum Abrufen sensibler Daten von Einträgen in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Zugriff auf einen versiegelten Eintrag, dessen sensible Daten abzurufen, ohne die Audit-Benachrichtigung zur Entsiegelung auszulösen, und zwar über eine manipulierte API-Anfrage.
CVE(s)
CVE-2026-8477
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Danksagungen
Supr4s
Fehlende Autorisierung bei Aktualisierung des Benutzerprofils
2.3 Niedrig - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Fehlende Autorisierung in der Funktion zur Aktualisierung des Benutzerprofils in Devolutions Server ermöglicht es einem authentifizierten Active Directory-Benutzer, seine eigenen Profilattribute über eine manipulierte API-Anfrage zu ändern.
CVE(s)
CVE-2026-9224
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Fehlende Autorisierung bei Aktualisierung des Benutzerprofils
2.3 Niedrig - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Fehlende Autorisierung in der Funktion zur Aktualisierung des Benutzerprofils in Devolutions Server ermöglicht es einem authentifizierten Active Directory-Benutzer, seine eigenen Profilattribute über eine manipulierte API-Anfrage zu ändern.
CVE(s)
CVE-2026-9246
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Passwortänderung ohne Überprüfung des vorherigen Passworts umgehbar
2.3 Niedrig - CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N
Eine nicht verifizierte Passwortänderung in Devolutions Server ermöglicht es einem Angreifer, das Passwort eines Benutzers zu ändern, ohne das vorherige Passwort anzugeben, indem eine manipulierte Passwortänderungsanfrage gesendet wird.
CVE(s)
CVE-2026-9249
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Offene Weiterleitung im Ablauf des externen Authentifizierungsanbieters
2.1 Niedrig - CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N
Unsachgemäße Eingabevalidierung im Ablauf des externen Authentifizierungsanbieters in Devolutions Server ermöglicht es einem nicht authentifizierten Remote-Angreifer, Opfer über einen manipulierten Anmeldelink auf eine vom Angreifer kontrollierte Domain umzuleiten.
CVE(s)
CVE-2026-9245
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Unzureichende Protokollierung beim Exportieren versiegelter Einträge
2.0 Niedrig - CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Unzureichende Protokollierung in der Eintragsexportfunktion von Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Exportberechtigungen, einen versiegelten Eintrag zu exportieren, ohne die Entsiegelungsbenachrichtigung an Administratoren auszulösen, indem eine manipulierte Exportanfrage verwendet wird.
CVE(s)
CVE-2026-9247
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.
Autorisierungsumgehung bei der Duplizierung von Einträgen
2.0 Niedrig - CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Eine Autorisierungsumgehung in der Funktion zur Duplizierung von Einträgen in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Schreibzugriff auf einen beliebigen Tresor, Dokumentationen und Anhänge aus einem Eintrag in einem Tresor, auf den er keinen Zugriff hat, über eine manipulierte Speicheranfrage zu kopieren.
CVE(s)
CVE-2026-9248
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.1.19.0 oder höher, 2025.3.22.0 oder höher.