CVE-2026-3224 Microsoft — Exploit & Vulnerability Details CRITICAL

CVE-2026-3224

CRITICAL CVSS 3.1: 9.8 EPSS 0.04%

Parameter	Value
CVSS	9.8 (CRITICAL)
Type	CWE-287 (Improper Authentication (Неправильная аутентификация))
Vendor	Microsoft
Public PoC	No

Authentication bypass in the Microsoft Entra ID (Azure AD) authentication mode in Devolutions Server 2025.3.15.0 and earlier allows an unauthenticated user to authenticate as an arbitrary Entra ID user via a forged JSON Web Token (JWT).

Attack Parameters

Attack Vector

Network

Атака возможна удалённо

Attack Complexity

Low

Легко эксплуатировать

Privileges Required

None

Права не нужны

User Interaction

None

Не нужно действие пользователя

Impact Assessment

Confidentiality

High

Полная утечка данных

Integrity

High

Полная модификация данных

Availability

High

Полный отказ в обслуживании

CVSS Vector v3.1

Weakness Type (CWE)

CWE-287 Improper Authentication (Неправильная аутентификация)

References 1

https://devolutions.net/security/advisories/DEVO-2026-0005/

security@devolutions.net

Share Post Share Share Share

Related Vulnerabilities

CVE-2026-26124

Microsoft

6.7

CVE-2026-26122

Microsoft

6.5

CVE-2026-21536

Microsoft

9.8

CVE-2026-2628

Microsoft

9.8

CVE-2025-58107

Microsoft

7.5

Menu

CVE-2026-3224

Attack Parameters

Impact Assessment

CVSS Vector v3.1

Weakness Type (CWE)

References 1

Related Vulnerabilities

CVE-2026-26124

CVE-2026-26122

CVE-2026-21536

CVE-2026-2628

CVE-2025-58107

CVE Details

Editor's Choice