Неправильное применение поведенческих элементов управления в Devolutions Server 2025.3.15 и более ранних версиях позволяет аутентифицированному злоумышленнику с разрешением на удаление удалить учетную запись PAM, которая в данный момент извлечена, выбрав ее вместе хотя бы с одной неизвлеченной учетной записью и выполнив массовое удаление.
Показать оригинальное описание (EN)
Improper Enforcement of Behavioral Controls in Devolutions Server 2025.3.15 and earlier allows an authenticated attacker with the delete permission to delete a PAM account that is currently checked out by selecting it alongside at least one non-checked-out account and performing a bulk deletion.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
devolutions:devolutions_server
Затронутые конфигурации ПО 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Devolutions Devolutions_Server
cpe:2.3:a:devolutions:devolutions_server:*:*:*:*:*:*:*:*
|
— |
2025.3.16.0
|