Devolutions Server漏洞CVE-2025-12485和CVE-2025-12808

Devolutions是一家专注于远程连接管理和密码安全解决方案的公司，该公司提供了多款工具帮助用户高效管理远程桌面、密码及特权访问。

一、基本情况

Devolutions Server是加拿大Devolutions公司自托管共享凭证管理解决方案，支持特权访问管理（PAM）功能，适用于中小企业和IT团队。

Devolutions Server集中存储加密凭证（AES-256），多类型数据（证书、密钥、文件），所有数据加密存储，支持会话录制和详细日志。

Devolutions作为领先特权访问管理(PAM)和远程连接解决方案提供商，帮用户轻松存储繁杂用户名、密码、端口和地址等信息并随时调用。

栋科技漏洞库关注到在Devolutions Server存在两个安全漏洞，分别追踪为CVE-2025-12485和CVE-2025-12808，CVSS3.X评分8.8和6.5。

二、漏洞分析

CVE-2025-12485

CVE-2025-12485漏洞是位于Devolutions Server中的安全漏洞，进行预多因素身份验证（MFA）的Cookie处理时存在不当的权限管理问题。

该漏洞的存在允许低权限已认证用户通过重放预 MFA 的Cookie劫持来伪装（冒充）成另一个账户，这不会绕过目标账户的MFA验证步骤。

漏洞源于预MFA Cookie处理过程中的特权管理不当，是Devolutions Server中预多因素身份验证（MFA）的Cookie处理不当权限管理问题。

尽管该漏洞并未绕过多因素认证（MFA），但该来的可能允许已经访问系统的攻击者通过伪装成更高级别的用户，来提升特权或横向移动。

该漏洞不会绕过目标账户MFA验证步骤，这种冒充行为可能导致对关键资产的未授权访问、审计日志篡改或特权管理工作流中的配置篡改。

这意味着，对于依赖Devolutions Server进行企业凭证控制的组织来说是一个严重问题。

CVE-2025-12808

CVE-2025-12808是Devolutions中存在不当的访问控制问题，允许仅查看权限用户检索三级嵌套字段中的敏感信息如密码列表的自定义值。

由于Devolutions Server的访问控制不当，允许View-only用户检索敏感的第三层嵌套字段，例如密码列表和自定义值，从而导致密码泄露。

因此，这意味着受影响的版本中，通常仅限于只读访问的用户（View-only用户）可以访问包含自定义值或明文凭证的敏感第三层嵌套字段。

这种暴露可能使未授权用户从服务器的数据库中窃取存储的密码或配置密钥，破坏了旨在保护敏感凭证信息的内部职责分离模型。

这两个漏洞影响了多个版本的Devolutions Server 2025，并且在最新的维护更新中提供了修复方案：

（一）升级至Devolutions Server 2025.3.6.0或更高版本

（二）升级至evolutions Server 2025.2.17.0或更高版本

Devolutions强调，升级至这些版本是唯一有效的修复方案，目前没有配置变通方法可以完全缓解该问题。

三、影响范围

Devolutions Server 2025.3.2.0至2025.3.5.0

Devolutions Server 2025.2.15.0及更早版本

四、修复建议

Devolutions Server >= 2025.3.6.0 及以上版本

Devolutions Server >= 2025.2.17.0 及以上版本

五、参考链接

管理员已设置登录后刷新可查看