Devolutions,作为领先的特权访问管理(PAM)和远程连接解决方案提供商,发布了紧急安全通告,针对其Devolutions Server产品中的两项严重漏洞进行修复。
这两个漏洞分别被标记为CVE-2025-12485和CVE-2025-12808,影响的是自托管的Devolutions Server,这一产品被企业用于控制对特权账户和业务用户密码的访问。
第一个漏洞(CVE-2025-12485)获得了CVSS 9.4的高危评分,问题出在预MFA Cookie处理过程中的特权管理不当。Devolutions表示,低权限的已认证用户可以通过重放特定的认证令牌——即预MFA Cookie——冒充其他账户。
安全通告中解释道:“Devolutions Server在处理预MFA Cookie时,特权管理不当,允许低权限的已认证用户通过重放预MFA Cookie冒充其他账户。”
尽管此漏洞并未绕过多因素认证(MFA),但它可能允许已经访问系统的攻击者通过伪装成更高级别的用户来提升特权或横向移动。
Devolutions进一步澄清道:“该漏洞不会绕过目标账户的MFA验证步骤。”
这种冒充行为可能导致对关键资产的未授权访问、审计日志篡改或特权管理工作流中的配置篡改,这对依赖Devolutions Server进行企业凭证控制的组织来说是一个严重问题。
第二个漏洞(CVE-2025-12808)获得了CVSS 7.1的高危评分,源于Devolutions Server在处理嵌套字段时的访问控制不当。
在受影响的版本中,通常仅限于只读访问的用户(View-only用户)可以访问包含自定义值或明文凭证的敏感第三层嵌套字段。
安全通告警告道:“Devolutions Server中的访问控制不当,允许View-only用户检索敏感的第三层嵌套字段,例如密码列表和自定义值,从而导致密码泄露。”
这种暴露可能使未授权用户从服务器的数据库中窃取存储的密码或配置密钥,破坏了旨在保护敏感凭证信息的内部职责分离模型。
这两个漏洞影响了多个版本的Devolutions Server 2025,并且在最新的维护更新中提供了修复方案:
(一)升级至Devolutions Server 2025.3.6.0或更高版本
(二)升级至evolutions Server 2025.2.17.0或更高版本
Devolutions强调,升级至这些版本是唯一有效的修复方案,目前没有配置变通方法可以完全缓解该问题。
发表评论
您还未登录,请先登录。
登录