Sicherheit & Compliance

Unsachgemäße Handhabung des Faktorschlüsselzustands in der Verwaltungsfunktion für Multi-Faktor-Authentifizierung in Devolutions Server ermöglicht es einem Angreifer, der das Passwort eines Benutzers kennt, die Multi-Faktor-Authentifizierung des Benutzers zu umgehen, nachdem dieser seine Faktoren neu konfiguriert hat.

Eine unsachgemäße Autorisierung in der Active Directory-Browsing-Funktion in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit niedrigen Berechtigungen, über eine Authentifizierungsweiterleitung an einen vom Angreifer kontrollierten Server Authentifizierungsmaterial zu erlangen, das mit einem gespeicherten PAM-Provider-Dienstkonto verknüpft ist.

Fehlende Autorisierung in der Tresor-Importfunktion in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit geringen Berechtigungen, über eine manipulierte Importanfrage neue Tresore zu erstellen.

Fehlende Autorisierung in der Funktion zur Verwaltung des Eintragsstatus in Devolutions Server ermöglicht es einem authentifizierten Benutzer ohne Administratorrechte, den vom Administrator erzwungenen Genehmigungsworkflow zu umgehen und über eine manipulierte Statusänderungsanfrage Zugriff auf die Daten eines Eintrags zu erlangen.

Unsachgemäße Zugriffskontrolle in der Eintrags-Aktivitätsprotokoll-Funktion in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Zugriff auf einen Eintrag, aber ohne die erforderliche Berechtigung, die Aktivitätsprotokolle dieses Eintrags über eine manipulierte API-Anfrage abzurufen.

Unsachgemäße Durchsetzung des Sealed-Entry-Workflows in der Funktion zum Abrufen sensibler Daten von Einträgen in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Zugriff auf einen versiegelten Eintrag, dessen sensible Daten abzurufen, ohne die Audit-Benachrichtigung zur Entsiegelung auszulösen, und zwar über eine manipulierte API-Anfrage.

Fehlende Autorisierung in der Funktion zur Aktualisierung des Benutzerprofils in Devolutions Server ermöglicht es einem authentifizierten Active Directory-Benutzer, seine eigenen Profilattribute über eine manipulierte API-Anfrage zu ändern.

Fehlende Autorisierung in der Funktion zur Aktualisierung des Benutzerprofils in Devolutions Server ermöglicht es einem authentifizierten Active Directory-Benutzer, seine eigenen Profilattribute über eine manipulierte API-Anfrage zu ändern.

Eine nicht verifizierte Passwortänderung in Devolutions Server ermöglicht es einem Angreifer, das Passwort eines Benutzers zu ändern, ohne das vorherige Passwort anzugeben, indem eine manipulierte Passwortänderungsanfrage gesendet wird.

Unsachgemäße Eingabevalidierung im Ablauf des externen Authentifizierungsanbieters in Devolutions Server ermöglicht es einem nicht authentifizierten Remote-Angreifer, Opfer über einen manipulierten Anmeldelink auf eine vom Angreifer kontrollierte Domain umzuleiten.

Unzureichende Protokollierung in der Eintragsexportfunktion von Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Exportberechtigungen, einen versiegelten Eintrag zu exportieren, ohne die Entsiegelungsbenachrichtigung an Administratoren auszulösen, indem eine manipulierte Exportanfrage verwendet wird.

Eine Autorisierungsumgehung in der Funktion zur Duplizierung von Einträgen in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Schreibzugriff auf einen beliebigen Tresor, Dokumentationen und Anhänge aus einem Eintrag in einem Tresor, auf den er keinen Zugriff hat, über eine manipulierte Speicheranfrage zu kopieren.