Sécurité et conformité
Nous respectons les normes les plus élevées pour protéger vos données et garantir la confiance.
DEVO-2025-0014
Validation incorrecte du certificat lors de la connexion aux gateways dans Devolutions Server 2025.3.2 et versions antérieures permet aux attaquants en position d'homme du milieu d'intercepter le trafic.
Produits affectés
Journal des modifications
14/10/2025 - Publication initiale
7.7 High - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Absence de validation de domaine TLS lors de la connexion aux gateways
La validation du certificat TLS lors de la connexion à un Devolutions Gateway n'a pas réussi à valider que le sujet du certificat correspondait au nom de domaine de l'hôte. Cela pourrait permettre à des attaquants en position d'homme du milieu (MitM) d'intercepter ou de manipuler le trafic entre Devolutions Server et un Gateway.
La sécurité des sessions passant par le Gateway n'est pas impactée, car le certificat est également validé sur les points de terminaison lors de l'initiation d'une connexion.
Produits affectés
CVE(s)
CVE-2025-11619
Mesures correctives et solutions de contournement
Mettre à jour vers Devolutions Server 2025.3.3 ou plus récent, 2025.2.15 ou plus récent