Специалисты по кибербезопасности подтвердили критическую уязвимость в корпоративной платформе для управления паролями и конфиденциальными данными Devolutions Server. Ошибка в коде, классифицированная как внедрение SQL (SQL Injection), позволяет атакующему с правами обычного пользователя полностью скомпрометировать систему. Уязвимости присвоены идентификаторы BDU:2025-15266 и CVE-2025-13757.
Детали уязвимости
Согласно данным из банка данных уязвимостей, проблема затрагивает все версии Devolutions Server до 2025.2.20 включительно, а также релизы с 2025.3.0 по 2025.3.8. Уязвимость связана с недостаточной проверкой и защитой параметра "DateSortField" при формировании SQL-запросов. Следовательно, злоумышленник, действующий удаленно, может модифицировать запросы к базе данных.
Эксплуатация этой уязвимости открывает широкие возможности для атаки. Во-первых, злоумышленник может читать и изменять любые данные, хранящиеся в системе. Учитывая, что Devolutions Server предназначен для централизованного хранения учетных данных, ключей и конфиденциальной информации, утечка может иметь катастрофические последствия для всей корпоративной инфраструктуры. Во-вторых, в перспективе атакующий способен выполнить произвольный код на сервере, что эквивалентно получению полного контроля над системой.
Уровень опасности этой уязвимости оценивается как критический. Баллы по шкале CVSS (Common Vulnerability Scoring System) лишь подтверждают серьезность угрозы. Базовая оценка CVSS 3.1 достигает максимальных 9.9 баллов, а оценка по CVSS 4.0 составляет 9.4. Высокие показатели обусловлены несколькими факторами. Атака не требует сложных подготовительных действий (низкая сложность эксплуатации) и может быть проведена через сеть. Для успешной атаки злоумышленнику достаточно иметь учетную запись с минимальными привилегиями (уровень привилегий PR:L). При этом последствия затрагивают не только уязвимый компонент, но и всю безопасность связанных систем.
Производитель, компания Devolutions, уже признал проблему и выпустил официальный бюллетень безопасности DEVO-2025-0018. Главной и единственной рекомендованной мерой защиты является немедленное обновление программного обеспечения. Пользователям необходимо обновиться до версий, выпущенных после 2025.3.8. Важно подчеркнуть, что простое применение заплат или изменение конфигураций не устранит коренную причину уязвимости.
На текущий момент информация о существовании активных эксплойтов (вредоносных программ для эксплуатации уязвимости) уточняется. Однако, учитывая критический характер уязвимости и ее относительную простоту эксплуатации, появление таких инструментов в ближайшее время весьма вероятно. Следовательно, окно для безопасного обновления может быть крайне ограниченным.
Данный инцидент служит очередным напоминанием о важности регулярного аудита безопасности прикладного программного обеспечения, особенно того, которое работает с критически важными данными. Внедрение SQL остается одним из самых распространенных и опасных векторов атак, несмотря на давно известные методы защиты, такие как использование параметризованных запросов и строгая валидация входных данных. Администраторам, использующим Devolutions Server, следует расценивать обновление как первоочередную задачу, чтобы предотвратить потенциальную утечку корпоративных секретов и компрометацию внутренних сетей.
Ссылки
- https://bdu.fstec.ru/vul/2025-15266
- https://www.cve.org/CVERecord?id=CVE-2025-13757
- https://devolutions.net/security/advisories/DEVO-2025-0018/
