Devolutions Server 中存在严重漏洞(CVE-2025-13757),已认证的攻击者可利用SQL注入窃取所有存储的密码
Devolutions 已为其旗舰自托管密码管理解决方案 Devolutions Server 发布 紧急安全更新,修复三个可能泄露敏感凭据的漏洞。其中最严重的是 高风险 SQL 注入缺陷,攻击者可利用该漏洞窃取或篡改关键数据。
漏洞详情
最值得关注的漏洞是 CVE-2025-13757,CVSS 评分高达 9.4(严重)。该漏洞存在于系统的日志机制中,安全公告指出其为“通过最近使用日志中的 DateSortField 参数进行 SQL 注入”。此疏忽“允许已认证用户泄露或修改数据”——攻击者可通过操纵该参数,绕过标准安全控制直接查询底层数据库。
第二个漏洞 CVE-2025-13758(CVSS 5.1)暴露了服务器传输敏感信息的缺陷。通常,Devolutions Server 将数据请求分为两部分:元数据(名称、用户名、日期)的常规请求,以及需要时单独获取密码等凭据的 /sensitive-data 请求。但研究人员发现,对于特定条目类型,系统会“在首次请求中错误包含密码”,这意味着仅查看条目列表就可能在用户明确请求前,通过网络无意中传输密码。
第三个漏洞 CVE-2025-13765(CVSS 4.9)影响电子邮件服务配置 API。报告指出,当配置多个电子邮件服务时,该漏洞会“向非管理员用户返回电子邮件服务密码”,可能导致普通用户未授权访问组织的电子邮件基础设施凭据。
修复与建议
Devolutions 敦促所有管理员立即修补实例以关闭这些安全缺口。漏洞已在以下版本中修复:
- Devolutions Server 2025.2.21 或更高版本
- Devolutions Server 2025.3.9 或更高版本
使用 Devolutions Server 控制特权账户和业务用户密码访问的组织,应优先进行此次更新,以维护密钥管理基础设施的完整性。