Sécurité et conformité

Un traitement inadéquat de l'état de la clé de facteur dans la fonctionnalité de gestion de l'authentification multifacteur dans Devolutions Server permet à un attaquant connaissant le mot de passe d'un utilisateur de contourner l'authentification multifacteur de cet utilisateur après que celui-ci a reconfiguré ses facteurs.

Une autorisation inadéquate dans la fonctionnalité de navigation Active Directory dans Devolutions Server permet à un utilisateur authentifié à faibles privilèges d'obtenir du matériel d'authentification associé à un compte de service de fournisseur PAM stocké via un relais d'authentification vers un serveur contrôlé par l'attaquant.

Une autorisation manquante dans la fonctionnalité d'importation de coffre dans Devolutions Server permet à un utilisateur authentifié à faibles privilèges de créer de nouveaux coffres via une requête d'importation spécialement conçue.

Une autorisation manquante dans la fonctionnalité de gestion du statut des entrées dans Devolutions Server permet à un utilisateur authentifié non administrateur de contourner le flux d'approbation en attente imposé par l'administrateur et d'accéder aux données d'une entrée via une requête de changement de statut spécialement conçue.

Un contrôle d'accès inadéquat dans la fonctionnalité de journal d'activité des entrées dans Devolutions Server permet à un utilisateur authentifié ayant accès à une entrée, mais ne disposant pas de la permission requise, de récupérer les journaux d'activité de cette entrée via une requête API spécialement conçue.

Une application inadéquate du flux de travail des entrées scellées dans la fonctionnalité de récupération de données sensibles d'une entrée dans Devolutions Server permet à un utilisateur authentifié ayant accès à une entrée scellée de récupérer ses données sensibles sans déclencher la notification d'audit de descellement via une requête API spécialement conçue.

Une autorisation manquante dans la fonctionnalité de mise à jour du profil utilisateur dans Devolutions Server permet à un utilisateur Active Directory authentifié de modifier ses propres attributs de profil via une requête API spécialement conçue.

Une autorisation manquante dans la fonctionnalité de mise à jour du profil utilisateur dans Devolutions Server permet à un utilisateur Active Directory authentifié de modifier ses propres attributs de profil via une requête API spécialement conçue.

Un changement de mot de passe non vérifié dans Devolutions Server permet à un attaquant de modifier le mot de passe d'un utilisateur sans fournir l'ancien mot de passe via une requête de changement de mot de passe spécialement conçue.

Une validation d'entrée inadéquate dans le flux du fournisseur d'authentification externe de Devolutions Server permet à un attaquant distant non authentifié de rediriger les victimes vers un domaine contrôlé par l'attaquant au moyen d'un lien de connexion falsifié.

Une journalisation insuffisante dans la fonctionnalité d'exportation d'entrées dans Devolutions Server permet à un utilisateur authentifié disposant de permissions d'exportation d'exporter une entrée scellée sans déclencher la notification de descellement aux administrateurs via une requête d'exportation spécialement conçue.

Un contournement d'autorisation dans la fonctionnalité de duplication d'entrée dans Devolutions Server permet à un utilisateur authentifié ayant un accès en écriture à n'importe quel coffre de copier la documentation et les pièces jointes d'une entrée dans un coffre auquel il n'a pas accès via une requête de sauvegarde spécialement conçue.