Katalog CVE

CVE-2026-10787

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.03%

Percentyl 8 - wyżej niż 8% wszystkich znanych CVE

Streszczenie

Brak autoryzacji w API grup użytkowników usuniętych w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach enumerację metadanych usuniętych grup użytkowników za pomocą odpowiednio skonstruowanego żądania API.

Ocena ryzyka

Organizacja może być narażona na ujawnienie informacji o usuniętych grupach użytkowników, co może prowadzić do dalszych ataków lub naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się wprowadzenie odpowiednich mechanizmów autoryzacji w API, aby ograniczyć dostęp do metadanych usuniętych grup użytkowników.

Oryginalny opis (angielski, źródło NVD)

Missing authorization in the deleted user groups API in Devolutions Server allows an authenticated low-privileged user to enumerate metadata of deleted user groups via a crafted API request. This issue affects : * Devolutions Server 2026.2.4.0 * Devolutions Server 2026.1.20.0 and earlier

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS