検出

Devolutions Server < 2025.3.22 / 2026.1.x < 2026.1.19 の複数の脆弱性(DEVO-2026-0013)

high Nessus プラグイン ID 317713

Language:

概要

リモートホストにインストールされている Devolutions Server インスタンスは、複数の脆弱性の影響を受けます。

説明

リモートホストにインストールされている Devolutions Server のバージョンは、2025.3.22 より前か、2026.1.19 より前の 2026.1.x です。
そのため、以下を含む複数の脆弱性による影響を受けます:

 - Active Directory ブラウジング機能の認証が不適切であるため、権限の低い認証されたユーザーが、攻撃者の制御下にあるサーバーへの認証リレーを介して、保存された PAM プロバイダーサービスアカウントに関連付けられた認証素材を取得する可能性があります。(CVE-2026-7325)

 - エントリステータス管理機能に承認がないため、管理者以外の認証ユーザーが、管理者が強制する承認待ちフローをバイパスし、細工されたステータス変更リクエストを通じてエントリのデータにアクセスする可能性があります。(CVE-2026-9251)

 - エントリのアクティビティログ機能における不適切なアクセス制御により、エントリへのアクセスはあるが必要な権限を持たない認証されたユーザーが、細工された API リクエストを通じて、そのエントリのアクティビティログを取得することが可能です。
 (CVE-2026-5171)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Devolutions Server バージョン 2025.3.22 / 2026.1.19 以降にアップグレードしてください。

参考資料

https://devolutions.net/security/advisories/DEVO-2026-0013/

プラグインの詳細

深刻度: High

ID: 317713

ファイル名: devolutions_server_DEVO-2026-0013.nasl

バージョン: 1.2

タイプ: Local

エージェント: windows

ファミリー: Windows

公開日: 2026/5/29

更新日: 2026/6/1

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 5.6

現状値: 4.1

ベクトル: CVSS2#AV:N/AC:H/Au:S/C:C/I:P/A:N

CVSS スコアのソース: CVE-2026-7325

CVSS v3

リスクファクター: High

基本値: 7.1

現状値: 6.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:devolutions:devolutions_server

必要な KB アイテム: installed_sw/Devolutions Server

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2026/5/21

脆弱性公開日: 2026/5/21

参照情報

CVE: CVE-2026-5171, CVE-2026-7325, CVE-2026-8477, CVE-2026-9224, CVE-2026-9245, CVE-2026-9246, CVE-2026-9247, CVE-2026-9248, CVE-2026-9249, CVE-2026-9251

IAVB: 2026-B-0133