Неправильный контроль доступа в передаче полномочий позволяет пользователю с правом только просмотра получать конфиденциальные вложенные поля третьего уровня, такие как пользовательские значения списков паролей, что приводит к раскрытию пароля.
Эта проблема затрагивает следующие версии:
* Сервер передачи с 2025.3.2.0 по 2025.3.5.0.
*
Сервер Devolutions 2025.2.15.0 и более ранние версии
Показать оригинальное описание (EN)
Improper access control in Devolutions allows a View-only user to retrieve sensitive third-level nested fields, such as password lists custom values, resulting in password disclosure. This issue affects the following versions : * Devolutions Server 2025.3.2.0 through 2025.3.5.0 * Devolutions Server 2025.2.15.0 and earlier
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Devolutions Devolutions_Server
cpe:2.3:a:devolutions:devolutions_server:*:*:*:*:*:*:*:*
|
— |
2025.2.17.0
|
|
Devolutions Devolutions_Server
cpe:2.3:a:devolutions:devolutions_server:*:*:*:*:*:*:*:*
|
2025.3.2.0
|
2025.3.6.0
|