CVE-2026-12161

High(8.8)

CVE-2026-12161 — Devolutions Remote Desktop Manager: SSH Elevate ShellのOSコマンドインジェクション

公開日: 2026-06-18データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Remote Desktop Manager	Devolutions	<= 2026.2.7

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

1Devolutions RDM のバージョンを確認し、2026.2.7 以前であれば影響を受ける可能性がある
2Devolutions の公式サイトから最新版をダウンロードしてアップデートする
3SSH エントリの共有権限を見直し、不要な権限を削除する

影響対象

Devolutions RDM利用者エンタープライズリモートアクセス管理者

補足

-本脆弱性は認証済みユーザーによる悪用のため、共有エントリの権限管理が特に重要です。

CVEDevolutionsRDMコマンドインジェクションSSHリモートデスクトップ

概要

Devolutions Remote Desktop Manager（RDM）2026.2.7 の SSH Elevate Shell 機能に OS コマンドインジェクションの脆弱性が存在します。

本脆弱性は、共有 SSH エントリの作成または変更権限を持つ認証済みユーザーが悪用できます。攻撃者は細工した代替ユーザー名と Elevate Shell アクションを組み合わせることで、保存された昇格資格情報を使ってリモート SSH ホスト上で任意のコマンドを実行できます。

Devolutions RDM はエンタープライズ環境でのリモートアクセス管理に広く使用されており、特に複数のユーザーが共有 SSH 接続エントリを扱う環境での影響が懸念されます。

CVSSベクトル

項目	値
攻撃経路（AV）	Network
攻撃複雑度（AC）	Low
必要権限（PR）	Low
ユーザー関与（UI）	None
スコープ（S）	Changed
機密性（C）	High
完全性（I）	High
可用性（A）	High
CVSS スコア	8.8

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Remote Desktop Manager	Devolutions	2026.2.7 以前

影響条件: SSH Elevate Shell 機能を使用しており、共有 SSH エントリの作成・変更権限を持つユーザーが存在する環境。

修正バージョンと回避策

推奨対応:

Devolutions のセキュリティアドバイザリを確認し、修正バージョンへのアップデートを実施する
共有 SSH エントリの変更権限を必要最小限のユーザーに制限する
Elevate Shell 機能の使用状況を監査する

関連リンク

データソース: JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-12162Devolutions RDM ソーシャルログイン証明書検証不備CVSS 5.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-12161

JVN:https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-019955.html

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。