Неправильный контроль доступа к пользовательской функции MFA в Devolutions Server позволяет аутентифицированному пользователю обойти ограничения, установленные администратором, и удалить собственную конфигурацию многофакторной аутентификации (MFA) с помощью созданного запроса.
Эта проблема затрагивает серверы: с 2026.1.6 по 2026.1.11.
Показать оригинальное описание (EN)
Improper access control in the users MFA feature in Devolutions Server allows an authenticated user to bypass administrator-enforced restrictions and remove their own multi-factor authentication (MFA) configuration via a crafted request. This issue affects Server: from 2026.1.6 through 2026.1.11.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Devolutions Devolutions_Server
cpe:2.3:a:devolutions:devolutions_server:*:*:*:*:*:*:*:*
|
2026.1.6.0
|
2026.1.12.0
|