Top/Security/CVE一覧/CVE-2026-3224

CVE-2026-3224

Critical(9.8)

CVE-2026-3224 — Devolutions Server Microsoft Entra ID認証バイパス

公開日: 2026-03-06データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Devolutions Server	Devolutions	2025.3.15.0 以前

CVEDevolutions認証バイパスJWTAzure AD

概要

Devolutions Server 2025.3.15.0 以前に、Microsoft Entra ID（旧Azure AD）認証をバイパスできる脆弱性が存在します。攻撃者が偽造したJWTトークンを使用して、任意のユーザーとして認証することが可能です。

Microsoft Entra IDを認証プロバイダーとして構成しているDevolutions Server環境では、影響範囲の確認とアップデートが必要です。

CVSSベクトル

項目	値
CVSSスコア	9.8
深刻度	Critical
CWE	CWE-287 (認証不備)

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Devolutions Server	Devolutions	2025.3.15.0 以前

修正バージョンと回避策

修正バージョン: Devolutions Server の最新バージョンへのアップデート
暫定回避策: Microsoft Entra ID認証を一時的に無効化し、別の認証方式を使用

関連リンク

NVD

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-2590Devolutions Remote Desktop Manager パスワード保存設定の不備CVSS 9.8 CVE-2026-3130Devolutions Server PAMアカウント一括削除バイパスCVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-3224

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。