Sécurité et conformité
Nous respectons les normes les plus élevées pour protéger vos données et garantir la confiance.
DEVO-2025-0018
Devolutions Server est affecté par plusieurs vulnérabilités.
Produits affectés
Journal des modifications
2025-11-27 - Publication initiale
Injection SQL dans les journaux de dernière utilisation
9.4 Critique - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Une injection SQL via le paramètre DateSortField dans les journaux d'utilisation permet aux utilisateurs authentifiés d'exfiltrer ou de modifier des données.
CVE(s)
CVE-2025-13757
Mesures correctives et solutions de contournement
Crédits
JaGoTu, DCIT a.s.
Identifiants inclus dans les demandes de connexion partielles
Moyenne 5.1 - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Les entrées dans DVLS sont demandées en deux requêtes distinctes, la première requête contient des informations générales à afficher telles que le nom, le nom d'utilisateur, la date de création, etc. Les identifiants tels que les mots de passe sont récupérés via une demande /sensitive-data lorsque l'utilisateur accède à l'identifiant. Certains types d'entrées incluaient incorrectement les mots de passe dans la première requête.
CVE(s)
CVE-2025-13758
Mesures correctives et solutions de contournement
Crédits
JaGoTu, DCIT a.s.
Contrôle d'accès incorrect dans le composant de service de courriel
4.9 Moyenne - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:H/SA:N
L'API de configuration du service de courriel retournait les mots de passe du service de courriel aux utilisateurs sans privilèges administratifs lorsqu'il y avait plusieurs services de courriel configurés.
CVE(s)
CVE-2025-13765
Mesures correctives et solutions de contournement
Mettre à niveau vers Devolutions Server 2025.2.21 ou version supérieure ; 2025.3.9 ou version supérieure