Sicherheit & Compliance
Höchste Standards zum Schutz Ihrer Daten und zur Gewährleistung von Vertrauen.
DEVO-2026-0015
Devolutions Server ist von mehreren Schwachstellen betroffen.
Betroffene Produkte
Änderungsprotokoll
Erstveröffentlichung - 2026-06-03
Unsachgemäße Zugriffskontrolle legt Anmeldeinformationen der Ticketing-Integration im Klartext offen
7.1 Hoch - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:N/VA:N/SC:H/SI:H/SA:N
Eine unsachgemäße Zugriffskontrolle in den Einstellungen der Ticketing-Integration in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit niedrigen Rechten, über eine speziell gestaltete API-Anfrage Anmeldeinformationen für konfigurierte Ticketing-Integrationen im Klartext abzurufen.
CVE(s)
CVE-2026-10786
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.2.5.0 oder höher, 2026.1.21.0 oder höher.
Injection in den Passwortrotationsvorlagen des integrierten PAM-Anbieters
6.5 Mittel - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:L/SC:H/SI:H/SA:H
Eine unsachgemäße Neutralisierung von Sonderzeichen in den Passwortrotationsvorlagen des integrierten PAM-Anbieters in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit Schreibzugriff auf einen Tresor, beliebige Befehle auf den vom betroffenen PAM-Anbieter verwalteten Systemen auszuführen.
CVE(s)
CVE-2026-10544
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.2.5.0 oder höher, 2026.1.21.0 oder höher.
Fehlende Autorisierung am Endpunkt für gelöschte Benutzergruppen
5.3 Mittel - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Eine fehlende Autorisierung in der API für gelöschte Benutzergruppen in Devolutions Server ermöglicht es einem authentifizierten Benutzer mit niedrigen Rechten, über eine speziell gestaltete API-Anfrage Metadaten gelöschter Benutzergruppen aufzuzählen.
CVE(s)
CVE-2026-10787
Behebung und Workarounds
Aktualisieren Sie auf Devolutions Server 2026.2.5.0 oder höher, 2026.1.21.0 oder höher.