DevolutionsのDevolutions Remote Desktop Managerにおける誤って解決された名前や参照の使用に関する脆弱性
タイトル DevolutionsのDevolutions Remote Desktop Managerにおける誤って解決された名前や参照の使用に関する脆弱性
概要

Devolutions Remote Desktop Manager 2026.2.5から2026.2.11までのカスタムPowerShell VPNエディタにおいて、表示名によるリンク解決の不備がありました。このため、共有ワークスペースへの書き込み権限を持つ認証済み攻撃者が、既存のVPNスクリプトリンクと表示名が衝突することで、別のユーザーのコンテキストでPowerShellスクリプトを実行できる問題が発生しました。

想定される影響 ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年6月26日0:00
登録日 2026年6月30日11:23
最終更新日 2026年6月30日11:23
CVSS3.0 : 重要
スコア 7.2
ベクター CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
影響を受けるシステム
Devolutions
Devolutions Remote Desktop Manager 2026.2.5.0 から 2026.2.12.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
変更履歴
No 変更内容 変更日
1 [2026年06月30日]
  掲載
2026年6月30日11:23

NVD脆弱性情報
CVE-2026-13372
概要

Incorrect link resolution by display name in the custom PowerShell VPN editor in Devolutions Remote Desktop Manager 2026.2.5 through 2026.2.11 allows an authenticated attacker with write access to a shared workspace to execute a PowerShell script in another user's context via a display name collision with an existing VPN script link.

公表日 2026年6月27日4:16
登録日 2026年6月29日4:15
最終更新日 2026年6月29日23:56
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:devolutions:remote_desktop_manager:*:*:*:*:*:windows:*:* 2026.2.5.0 2026.2.12.0
関連情報、対策とツール
共通脆弱性一覧