Katalog CVE

CVE-2026-12755

NiskieCVSS 2.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 — wyżej niż 12% wszystkich znanych CVE

Streszczenie

Podatność w Devolutions Server w wersjach 2026.2.4.0 do 2026.2.7.0 umożliwia uwierzytelnionemu użytkownikowi z uprawnieniem UserGroupsView wymuszenie uwierzytelnienia po stronie serwera na kontrolowanym przez atakującego hoście. Poprzez spreparowany parametr DomainName w punktach końcowych wykrywania PAM AD, atakujący może przechwycić dane uwierzytelniające dostawcy PAM w postaci odpowiedzi wyzwania NTLMv2.

Ocena ryzyka

Ryzyko polega na wycieku wrażliwych danych uwierzytelniających dostawcy PAM, co może prowadzić do nieautoryzowanego dostępu do systemów i eskalacji uprawnień w środowisku IT organizacji.

Rekomendacja

Należy niezwłocznie zaktualizować Devolutions Server do wersji 2026.2.8.0 lub nowszej, która zawiera poprawkę usuwającą tę podatność. Do czasu aktualizacji zaleca się ograniczenie uprawnień UserGroupsView tylko do zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Improper input validation in the PAM AD discovery endpoints in Devolutions Server 2026.2.4.0 through 2026.2.7.0 allows an authenticated user with the UserGroupsView permission to coerce server-side authentication to an attacker-controlled host, exposing PAM provider credentials as a NTLMv2 challenge-response, via a crafted DomainName parameter.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS