検出

Devolutions Remote Desktop < 2024.3.31 / 2025.x < 2025.1.26 の複数の脆弱性 (DEVO-2025-0005)

medium Nessus プラグイン ID 233463

Language:

概要

リモートホストにインストールされている Devolutions Remote Desktop Manager のインスタンスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Devolutions Remote Desktop Manager のバージョンは 2024.3.31/2025.1.26 より前のものであるため、以下の複数の脆弱性の影響を受けます。

 - Windows 上の Devolutions Remote Desktop Manager の権限コンポーネントにおけるクライアント側のアクセスコントロールのバイパス。
 認証されたユーザーがこの欠陥を悪用して、特定のアクションを実行することで、特定のアクセス許可制限 (パスワードの表示、資産の編集、アクセス許可の編集など) をバイパスする可能性があります。(CVE-2025-2499)

 - Windows 上の Devolutions Remote Desktop Manager のアプリケーションパスワードポリシーの不適切な承認により、認証されたユーザーが、システム管理者が義務付けているものと異なる設定を使用できる可能性があります。(CVE-2025-2528)

 - Windows 上の Devolutions Remote Desktop Manager の自動入力機能でのログが不十分であるため、認証されたユーザーが自動入力機能を使用すると、対応するログイベントを生成せずに、保存されているパスワードを使用できる可能性があります。(CVE-2025-2562)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Devolutions Remote Desktop Manager バージョン2024.3.31 / 2025.1.26 以降にアップグレードしてください。

参考資料

https://devolutions.net/security/advisories/DEVO-2025-0005

プラグインの詳細

深刻度: Medium

ID: 233463

ファイル名: devolutions_desktop_manager_DEVO-2025-0005.nasl

バージョン: 1.2

タイプ: local

エージェント: windows

ファミリー: Windows

公開日: 2025/3/28

更新日: 2025/6/5

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: Medium

基本値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:N

CVSS スコアのソース: CVE-2025-2499

CVSS v3

リスクファクター: Medium

基本値: 5.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N

脆弱性情報

CPE: x-cpe:/a:devolutions:remote_desktop_manager

必要な KB アイテム: SMB/Registry/Enumerated, installed_sw/Devolutions Remote Desktop Manager

パッチ公開日: 2025/3/26

脆弱性公開日: 2025/3/26

参照情報

CVE: CVE-2025-2499, CVE-2025-2528, CVE-2025-2562, CVE-2025-2600

IAVB: 2025-B-0044-S