Sécurité et conformité
Nous respectons les normes les plus élevées pour protéger vos données et garantir la confiance.
DEVO-2026-0005
Devolutions Server et Remote Desktop Manager sont affectés par plusieurs vulnérabilités.
Produits affectés
Journal des modifications
Publication initiale - 2026-03-03
9.5 Critical - CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Authentification compromise dans le mode d'authentification Microsoft de Devolutions Server
Un contournement d'authentification dans le mode d'authentification Microsoft Entra ID (Azure AD) de Devolutions Server 2025.3.15.0 et versions antérieures permet à un utilisateur non authentifié de s'authentifier en tant qu'utilisateur Entra ID arbitraire via un JSON Web Token (JWT) falsifié.
L'adresse courriel de la victime doit être connue pour que l'attaque réussisse.
Produits affectés
CVE(s)
CVE-2026-3224
Mesures correctives et solutions de contournement
Mettez à niveau vers Devolutions Server 2025.3.16 ou une version ultérieure
Si la mise à niveau n'est pas possible, le mode d'authentification Microsoft doit être désactivé.
Crédits
truff
5.1 Medium - CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:N/VC:N/VI:L/VA:N/SC:H/SI:H/SA:N
Application incorrecte des contrôles comportementaux lors de la suppression de plusieurs comptes PAM
Devolutions Server 2025.3.15 et versions antérieures permettent à un attaquant authentifié disposant de la permission de suppression de supprimer un compte PAM actuellement réservé en le sélectionnant avec au moins un compte non réservé et en effectuant une suppression en masse. Cela peut contourner les protections prévues et interférer avec la révocation des privilèges juste-à-temps (JAT), pouvant entraîner des privilèges élevés persistants.
Produits affectés
CVE(s)
CVE-2026-3130
Mesures correctives et solutions de contournement
Mettez à niveau vers Devolutions Server 2025.3.16 ou 2026.1
5.1 Medium - CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N
Messages d'erreur falsifiables
La page de message d'erreur de Devolutions Server affichait un message fourni dans l'URL. Un acteur malveillant pouvait exploiter cela pour afficher de faux messages d'erreur, par exemple dans le cadre de tentatives d'hameçonnage.
La page a été modifiée pour afficher les messages d'erreur en fonction des codes d'erreur.
Produits affectés
CVE(s)
CVE-2026-3130
Mesures correctives et solutions de contournement
Mettez à niveau vers DVLS 2025.3.16 ou 2026.1
2.0 Low - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N
Les mots de passe peuvent être enregistrés même lorsque l'enregistrement est désactivé
Les mots de passe de certains types de connexions pouvaient encore être enregistrés même lorsque l'option « Désactiver l'enregistrement des mots de passe dans les coffres » est activée dans les paramètres système.
Les types de connexions affectés sont :
- AWS dashboard
- AWS Identity and Access Management (IAM)
- Microsoft Azure Table Storage Explorer
- BeyondTrust Admin session
- Dell iDRAC
- Google Cloud explorer
- HP iLO
- Autofill login (native application)
- Proxmox dashboard
- Salesforce Cloud
- Splashtop dashboard
- TN3270
- IBM5250
- CyberArk dashboard
- Amazon EC2
Produits affectés
CVE(s)
CVE-2026-2590
Mesures correctives et solutions de contournement
Mettez à niveau vers Remote Desktop Manager 2026.1