Неправильный контроль доступа в API управления многофакторной аутентификацией (MFA) в Devolutions Server позволяет злоумышленнику, прошедшему проверку подлинности, удалить свои собственные настроенные факторы MFA и свести защиту учетной записи к аутентификации только с помощью пароля с помощью специально созданных HTTP-запросов.
Эта проблема затрагивает серверы: с 2026.1.6 по 2026.1.11.
Показать оригинальное описание (EN)
Improper access control in the multi-factor authentication (MFA) management API in Devolutions Server allows an authenticated attacker to delete their own configured MFA factors and reduce account protection to password-only authentication via crafted HTTP requests. This issue affects Server: from 2026.1.6 through 2026.1.11.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Devolutions Devolutions_Server
cpe:2.3:a:devolutions:devolutions_server:*:*:*:*:*:*:*:*
|
2026.1.6.0
|
2026.1.12.0
|