CVE-2026-13437
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
W Devolutions PowerShell Universal 2026.2.0 wykryto podatność polegającą na wstawianiu wrażliwych informacji do wysyłanych danych w API zadań AI Agenta. Uwierzytelniony użytkownik z dostępem do odczytu AI Agenta może uzyskać wielokrotnego użytku tokeny uwierzytelniające o potencjalnie wyższych uprawnieniach, które są serializowane w postaci jawnego tekstu w odpowiedziach API zadań.
Ocena ryzyka
Ryzyko polega na możliwości eskalacji uprawnień przez atakującego, który może przechwycić tokeny uwierzytelniające i uzyskać nieautoryzowany dostęp do zasobów o wyższych uprawnieniach, co może prowadzić do naruszenia poufności i integralności systemu.
Rekomendacja
Zaleca się natychmiastową aktualizację Devolutions PowerShell Universal do wersji nowszej niż 2026.2.0, która usuwa tę podatność. Dodatkowo należy ograniczyć dostęp do API AI Agenta tylko do zaufanych użytkowników i monitorować logi pod kątem podejrzanych działań.
Oryginalny opis (angielski, źródło NVD)
Insertion of sensitive information into sent data in the AI Agent job API in Devolutions PowerShell Universal 2026.2.0 allows an authenticated user with AI Agent read access to obtain reusable, potentially higher-privileged authentication tokens via App Tokens serialized in plaintext in job API responses.

