nvd,bdu,anchore_overrides
Devolutions
Уязвимости
151
Эксплуатируемые
0
Критический
15
Высокий
42
Топ продуктов
Топ уязвимостей
BDU:2025-15266Уязвимость платформы для централизованного и безопасного управления паролями, учетными данными и конфиденциальной информацией Devolutions Server связана с непринятием мер по защите структуры запроса SQL при обработке параметра DateSortField. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ на чтение и изменение данных и выполнить произвольный код
CVE-2026-3224Обход аутентификации в режиме аутентификации Microsoft Entra ID (Azure AD) в Devolutions Server 2025.3.15.0 и ранее позволяет неаутентифицированному пользователю аутентифицироваться в качестве произвольного пользователя Entra ID через поддельный веб-токен JSON (JWT).
CVE-2026-3204Неправильно
Внедренсоризация ввода на странице сообщений об ошибках в Devolutions Server 2025.3.16 и ранее позволяет удаленным злоумышленникам локализовать отображаемое сообщение об ошибке через специально созданный URL.
CVE-2026-3130Неправильное правоприменение поведенческих элементов управления в Devolutions Server 2025.3.15 и ранее позволяет аутентифицированному злоумышленнику с разрешением на удаление удалить учетную запись PAM, которая в настоящее время проверяется, выбрав ее вместе по крайней мере с одной непроверенной учетной записью и выполнив массовое удаление.
CVE-2026-2590Неправильно
обеспечение соблюдения сберегательной сберегательной пароля в хранилищах, установленном в
Компонент входа на соединение в Derevolutions Remote Desktop Manager 2025.3.30 и ранее позволяет аутентифицированному пользователю сохранять учетные данные в хранилищах,
потенциальное раскрытие конфиденциальной информации для других пользователей путем создания
или редактирование определенных типов соединений при сохранении пароля отключено.
CVE-2026-0610Уязвимость инъекций SQL в удаленных сессиях в Devolutions Server.Эта проблема затрагивает Devolutions Server 2025.3.1 до 2025.3.12
CVE-2024-6057Неправильная аутентификация в функции пароля хранилища в Devolutions Remote Desktop Manager 2024.1.31.0 и более ранних версиях позволяет злоумышленнику, получившему доступ к экземпляру RDM, обойти главный пароль хранилища через функцию автономного режима.
CVE-2024-2921Неправильный контроль доступа в разрешениях хранилища PAM в Devolutions Server 2024.1.10.0 и более ранних версиях позволяет аутентифицированному пользователю с доступом к PAM получать доступ к несанкционированным записям PAM через определенный набор разрешений.
CVE-2023-6593Обход разрешений на стороне клиента в Devolutions Remote Desktop Manager 2023.3.4.0 и более ранних версиях на iOS позволяет злоумышленнику, имеющему доступ к приложению, выполнять записи в источнике данных SQL без ограничений.
CVE-2023-5766Уязвимость удаленного выполнения кода в Remote Desktop Manager 2023.2.33 и более ранних версиях в Windows позволяет злоумышленнику удаленно выполнять код из другого сеанса пользователя Windows на том же хосте через специально созданный TCP-пакет.
CVE-2023-5765Неправильный контроль доступа в функции анализатора паролей в Devolutions Remote Desktop Manager 2023.2.33 и более ранних версиях в Windows позволяет злоумышленнику обходить разрешения посредством переключения источника данных.
CVE-2023-4373Неадекватная проверка разрешений при использовании удаленных инструментов и макросов в Devolutions Remote Desktop Manager версий 2023.2.19 и более ранних позволяет пользователю инициировать соединение без надлежащих прав выполнения с помощью функции удаленных инструментов.
CVE-2025-6523Использование слабых учетных данных в компоненте аварийной аутентификации Devolutions Server позволяет неаутентифицированному злоумышленнику обойти аутентификацию путем подбора коротких аварийных кодов, созданных сервером, в течение реализуемого времени. Эта проблема затрагивает следующие версии:
* Devolutions Server 2025.2.2.0 по 2025.2.3.0
* Devolutions Server 2025.1.11.0 и более ранние версии
CVE-2021-23921Проблема была обнаружена в Devolutions Server до 2020.3. Существует нарушение контроля доступа к элементам записи списка паролей.
CVE-2025-11957Неправильная авторизация в рабочем процессе временного доступа Devolutions Server версии 2025.2.12.0 и более ранних позволяет аутентифицированному пользователю базового уровня самостоятельно одобрять запросы временного доступа других пользователей и получать неавторизованный доступ к хранилищам и записям через специально сформированные API‑запросы. Уязвимость обнаружена в модуле временного доступа и эксплуатируется через API‑интерфейс. Устранена в версии 2025.2.14.0 и выше [1].
Источники:
- [1] https://devolutions.net/security/advisories/DEVO-2025-0015/
CVE-2026-12161Неправильная валидация входных данных в функции SSH Elevate Shell в
Devolutions Remote Desktop Manager 2026.2.7 позволяет аутентифицировать пользователя
с разрешением на создание или изменение общей записи SSH для выполнения
произвольные команды на удаленном SSH-хопе с использованием сохраненного высотного
учетные данные через созданное альтернативное имя пользователя и взаимодействие с пользователем
Акция Elevate Shell.
CVE-2025-13757Уязвимость SQL Injection в последних журналах использования в Devolutions Server.Эта проблема затрагивает Devolutions Server: до 2025.2.20, до 2025.3.8.
CVE-2025-12485Неправильное управление привилегиями во время обработки файлов cookie до MFA в Devolutions Server позволяет низкопривилегированному аутентифицированному пользователю олицетворять другую учетную запись, воспроизводя файл cookie pre-MFA.Это не обходит шаг проверки целевой учетной записи MFA.
Эта проблема затрагивает следующие версии:
* Деволюции Сервер 2025.3.2.0 до 2025.3.5.0
*
Деволюции сервер 2025.2.2.15.0 и ранее
CVE-2025-11619Неправильная проверка сертификата при подключении к шлюзам в Devolutions Server 2025.3.2 и ранее позволяет злоумышленникам в положении MitM перехватывать трафик.
CVE-2024-2915Неправильный контроль доступа при повышении прав PAM JIT в Devolutions Server 2024.1.6 и более ранних версиях позволяет злоумышленнику с доступом к функции повышения прав PAM JIT повысить свои права до несанкционированных групп с помощью специально созданного запроса.
CVE-2024-11621Отсутствие проверки сертификата в Devolutions Remote Desktop Manager на macOS, iOS, Android, Linux позволяет злоумышленнику перехватывать и изменять зашифрованные коммуникации через атаку «человек посередине».
Пораженные версии:
Remote Desktop Manager macOS 2024.3.9.0 и ранее
Remote Desktop Manager Linux 2024.3.2.5 и ранее
Remote Desktop Manager Android 2024.3.3.7 и ранее
Remote Desktop Manager iOS 2024.3.3.0 и ранее
Remote Desktop Manager Powershell 2024.3.6.0 и ранее.
CVE-2023-0953Недостаточная очистка входных данных в функции документации Devolutions Server 2022.3.12 и более ранних версий позволяет аутентифицированному злоумышленнику выполнить SQL-инъекцию, что может привести к несанкционированному доступу к системным ресурсам.
CVE-2023-0951Неправильные элементы управления доступом к некоторым конечным точкам API в Devolutions Server 2022.3.12
и более ранних версиях могут позволить обычному привилегированному пользователю выполнять привилегированные
действия.
CVE-2022-4287Обход аутентификации в функции блокировки локального приложения в Devolutions Remote Desktop Manager 2022.3.26 и более ранних версий в Windows позволяет злоумышленнику получить доступ к приложению.
CVE-2022-3641Повышение привилегий в Azure SQL Data Source в Devolutions Remote Desktop Manager 2022.3.13 - 2022.3.24 позволяет аутентифицированному пользователю подделать привилегированную учетную запись.