Исследователи в области кибербезопасности обнаружили критические недостатки в популярном решении для централизованного управления паролями и привилегированным доступом Devolutions Server. Наиболее опасная из уязвимостей, оцененная в 9.4 балла по шкале CVSS, позволяет злоумышленнику выполнять SQL-инъекции и получать несанкционированный доступ к конфиденциальной информации. Компания-разработчик Devolutions выпустила экстренные патчи и настоятельно рекомендует администраторам немедленно обновить программное обеспечение.
Детали уязвимости
Согласно официальному уведомлению о безопасности под номером DEVO-2025-0018, опубликованному 27 ноября 2025 года, в продукте были выявлены три отдельные уязвимости. Самая серьёзная из них, получившая идентификатор CVE-2025-13757, классифицируется как критическая. Она затрагивает механизм обработки логов последнего использования в системе. Конкретно, ошибка заключается в некорректной валидации параметра "DateSortField". Как следствие, аутентифицированный пользователь внутри системы может сформировать специальный запрос к базе данных. В результате этот запрос позволяет не только извлекать скрытые данные, но и потенциально модифицировать записи на сервере. Учитывая, что Devolutions Server предназначен для хранения паролей и ключей доступа, успешная эксплуатация данной уязвимости представляет прямую угрозу для безопасности организаций, открывая путь к хищению критически важных учётных данных.
Помимо критической SQL-инъекции, эксперты из компании DCIT a.s. обнаружили ещё две проблемы средней степени опасности. Первая, зарегистрированная как CVE-2025-13758, связана с нежелательным раскрытием паролей. В обычном сценарии сервер должен передавать клиенту только основную информацию об объектах, например, их имена. Однако из-за ошибки в некоторых ответах сервера могли неожиданно присутствовать и сами пароли, что создавало дополнительный риск утечки. Вторая уязвимость, CVE-2025-13765, касается неправильного контроля доступа к настройкам почтового сервиса. Данный недостаток позволял пользователям без прав администратора просматривать пароли, настроенные для электронной почты. Эти данные должны быть строго ограничены для круга администраторов системы.
Все выявленные уязвимости затрагивают Devolutions Server версий 2025.2.20 и более ранние, а также версии 2025.3.8 и ниже. Для устранения угроз компания Devolutions выпустила исправленные сборки программного обеспечения. Администраторам необходимо в срочном порядке обновиться до версии 2025.2.21 или выше, либо до версии 2025.3.9 или выше. Установка этих обновлений гарантирует корректную фильтрацию запросов к базе данных и надёжное сокрытие чувствительных данных от несанкционированного доступа.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-13757
- https://www.cve.org/CVERecord?id=CVE-2025-13758
- https://www.cve.org/CVERecord?id=CVE-2025-13765
- https://devolutions.net/security/advisories/DEVO-2025-0018/
