MENU PRINCIPAL

Sécurité et conformité

Nous respectons les normes les plus élevées pour protéger vos données et garantir la confiance.

DEVO-2026-0013

Devolutions Server est affecté par de multiples vulnérabilités.

Produits affectés

Devolutions Server
2026.1.16.0 et versions antérieures
Devolutions Server
2026.1.16.0 et versions antérieures

Journal des modifications

Publication initiale - 2026-05-21

Contournement de l'authentification multifacteur

7.5 Élevé - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N

Un traitement inadéquat de l'état de la clé de facteur dans la fonctionnalité de gestion de l'authentification multifacteur dans Devolutions Server permet à un attaquant connaissant le mot de passe d'un utilisateur de contourner l'authentification multifacteur de cet utilisateur après que celui-ci a reconfiguré ses facteurs.

CVE(s)

CVE-2026-9047

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure.

Coercition LDAP exposant le matériel d'authentification du fournisseur PAM

7.1 Élevé - CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N

Une autorisation inadéquate dans la fonctionnalité de navigation Active Directory dans Devolutions Server permet à un utilisateur authentifié à faibles privilèges d'obtenir du matériel d'authentification associé à un compte de service de fournisseur PAM stocké via un relais d'authentification vers un serveur contrôlé par l'attaquant.

CVE(s)

CVE-2026-7325

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, 2025.3.22.0 ou supérieure.

Crédits

jtof_fap

Autorisation manquante lors de la création de coffre pendant l'importation

5.3 Moyen - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Une autorisation manquante dans la fonctionnalité d'importation de coffre dans Devolutions Server permet à un utilisateur authentifié à faibles privilèges de créer de nouveaux coffres via une requête d'importation spécialement conçue.

CVE(s)

CVE-2026-9223

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure.

Contournement de l'approbation en attente via le changement de statut d'une entrée

5.3 Moyenne - CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

Une autorisation manquante dans la fonctionnalité de gestion du statut des entrées dans Devolutions Server permet à un utilisateur authentifié non administrateur de contourner le flux d'approbation en attente imposé par l'administrateur et d'accéder aux données d'une entrée via une requête de changement de statut spécialement conçue.

CVE(s)

CVE-2026-9251

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, 2025.3.22.0 ou supérieure.

Contrôle d'accès inadéquat sur les journaux d'activité des entrées

4.3 Moyen - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

Un contrôle d'accès inadéquat dans la fonctionnalité de journal d'activité des entrées dans Devolutions Server permet à un utilisateur authentifié ayant accès à une entrée, mais ne disposant pas de la permission requise, de récupérer les journaux d'activité de cette entrée via une requête API spécialement conçue.

CVE(s)

CVE-2026-5171

Mesures correctives et solutions de contournement

Mettez à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, ou 2025.3.22.0 ou supérieure.

Crédits

Supr4s

Contournement de la notification pour les entrées scellées

2.7 Faible - CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:L/A:N

Une application inadéquate du flux de travail des entrées scellées dans la fonctionnalité de récupération de données sensibles d'une entrée dans Devolutions Server permet à un utilisateur authentifié ayant accès à une entrée scellée de récupérer ses données sensibles sans déclencher la notification d'audit de descellement via une requête API spécialement conçue.

CVE(s)

CVE-2026-8477

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, 2025.3.22.0 ou supérieure.

Crédits

Supr4s

Autorisation manquante lors de la mise à jour du profil utilisateur

2.3 Faible - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Une autorisation manquante dans la fonctionnalité de mise à jour du profil utilisateur dans Devolutions Server permet à un utilisateur Active Directory authentifié de modifier ses propres attributs de profil via une requête API spécialement conçue.

CVE(s)

CVE-2026-9224

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, 2025.3.22.0 ou supérieure.

Autorisation manquante lors de la mise à jour du profil utilisateur

2.3 Faible - CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Une autorisation manquante dans la fonctionnalité de mise à jour du profil utilisateur dans Devolutions Server permet à un utilisateur Active Directory authentifié de modifier ses propres attributs de profil via une requête API spécialement conçue.

CVE(s)

CVE-2026-9246

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, 2025.3.22.0 ou supérieure.

Contournement du changement de mot de passe sans vérification de l'ancien mot de passe

2.3 Faible - CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N

Un changement de mot de passe non vérifié dans Devolutions Server permet à un attaquant de modifier le mot de passe d'un utilisateur sans fournir l'ancien mot de passe via une requête de changement de mot de passe spécialement conçue.

CVE(s)

CVE-2026-9249

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, 2025.3.22.0 ou supérieure.

Redirection ouverte dans le flux du fournisseur d'authentification externe

2.1 Faible - CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

Une validation d'entrée inadéquate dans le flux du fournisseur d'authentification externe de Devolutions Server permet à un attaquant distant non authentifié de rediriger les victimes vers un domaine contrôlé par l'attaquant au moyen d'un lien de connexion falsifié.

CVE(s)

CVE-2026-9245

Mesures correctives et solutions de contournement

Mettez à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, ou 2025.3.22.0 ou supérieure.

Journalisation insuffisante lors de l'exportation d'entrées scellées

2.0 Faible - CVSS:4.0/AV:N/AC:L/AT:P/PR:H/UI:P/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Une journalisation insuffisante dans la fonctionnalité d'exportation d'entrées dans Devolutions Server permet à un utilisateur authentifié disposant de permissions d'exportation d'exporter une entrée scellée sans déclencher la notification de descellement aux administrateurs via une requête d'exportation spécialement conçue.

CVE(s)

CVE-2026-9247

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, 2025.3.22.0 ou supérieure.

Contournement de l'autorisation lors de la duplication d'entrée

2.0 Faible - CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

Un contournement d'autorisation dans la fonctionnalité de duplication d'entrée dans Devolutions Server permet à un utilisateur authentifié ayant un accès en écriture à n'importe quel coffre de copier la documentation et les pièces jointes d'une entrée dans un coffre auquel il n'a pas accès via une requête de sauvegarde spécialement conçue.

CVE(s)

CVE-2026-9248

Mesures correctives et solutions de contournement

Mettre à jour Devolutions Server vers la version 2026.1.19.0 ou supérieure, 2025.3.22.0 ou supérieure.