CVE-2026-10786
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
Nieprawidłowa kontrola dostępu w ustawieniach integracji biletowej w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach uzyskanie haseł w postaci niezaszyfrowanej dla skonfigurowanych integracji biletowych za pomocą odpowiednio skonstruowanego żądania API.
Ocena ryzyka
Organizacja może być narażona na wyciek poufnych danych, co może prowadzić do dalszych ataków na systemy i zasoby. Użytkownicy o niskich uprawnieniach mogą uzyskać dostęp do wrażliwych informacji, co zwiększa ryzyko naruszenia bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację Devolutions Server do najnowszej wersji, aby usunąć tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników oraz monitorować żądania API w celu wykrycia potencjalnych nadużyć.
Oryginalny opis (angielski, źródło NVD)
Improper access control in the ticketing integration settings in Devolutions Server allows an authenticated low-privileged user to obtain cleartext credentials for configured ticketing integrations via a crafted API request. This issue affects : * Devolutions Server 2026.2.4.0 * Devolutions Server 2026.1.20.0 and earlier

