严重SQL注入漏洞导致数据可被窃取

一批影响Devolutions Server的新漏洞，正威胁着依赖该平台管理特权账户、密码和敏感认证数据的组织。Devolutions已发布安全公告（编号DEVO-2025-0018），警告客户存在多个漏洞，其中包括一个可能导致攻击者直接从系统数据库提取机密数据的关键漏洞。

公告指出，多个版本的Devolutions Server会受到影响，具体包括2025.2.20及更早版本，以及2025.3.8及更早版本。

关键SQL注入漏洞（CVE-2025-13757）使数据窃取成为可能

最严重的问题是在平台的“最后使用日志”功能中存在一个SQL注入漏洞，其在CVSS 4.0评级系统中被评为9.4分（关键级别）。当系统尝试通过一个名为DateSortField的参数对使用历史进行排序时，由于软件未能充分验证该字段的用户输入，经过身份验证的用户可以向数据库直接注入恶意的SQL命令。

这个被追踪为CVE-2025-13757的漏洞，允许已登录的攻击者窃取或修改敏感信息，对存储着高价值凭证、访问密钥和特权账户数据的Devolutions Server环境构成了重大威胁。该漏洞可能泄露本应无法访问的信息，成为该平台有史以来报告过的最危险漏洞之一。

此漏洞的发现归功于DCIT a.s.公司的JaGoTu。

同时发现的两个中危漏洞

除了CVE-2025-13757，同一研究小组还发现了另外两个安全弱点：CVE-2025-13758和CVE-2025-13765，两者均被归类为中危级别，但在需要严格保密的环境中仍有影响。

• CVE-2025-13758：凭证在部分条目请求中泄露 其中一个漏洞涉及某些条目类型在请求常规项目信息的初始阶段就不当地包含了密码。通常情况下，密码等凭证应仅在用户有意访问时，通过受保护的/sensitive-data请求提供。然而，某些条目过早地暴露了凭证数据，增加了未经授权泄露的风险。此漏洞的CVSS评分为5.1，同样影响安全公告中列出的相同产品版本。

• CVE-2025-13765：电子邮件服务配置中的访问控制不当 第二个中危漏洞（CVSS评分4.9）涉及平台电子邮件服务配置API中不当的访问控制。当设置了多个电子邮件服务时，不具有管理员权限的用户仍然可以获取电子邮件服务密码，从而破坏了系统的访问控制模型。

这两个问题同样归功于DCIT a.s.公司的JaGoTu。

必要的更新与修复措施

Devolutions建议立即安装已修复的版本来解决所有三个漏洞。公告指示客户将Devolutions Server升级到：

• 版本 2025.2.21 或更高
• 版本 2025.3.9 或更高

应用这些更新对于阻止SQL注入攻击、防止未经授权的凭证暴露以及恢复正确的访问控制保护至关重要。没有这些补丁，组织将持续面临数据窃取、未经授权的密码检索以及不当用户权限提升的风险。

CVE-2025-13757、CVE-2025-13758和CVE-2025-13765的发现，证实了在所有受影响的Devolutions Server部署中进行紧急修补的必要性。由于这些漏洞暴露了敏感的凭证和特权访问途径，未打补丁的系统面临着可量化的保密风险和操作风险。

组织应立即应用推荐的更新，并加强其持续的漏洞监控。像Cyble这样提供实时漏洞情报并帮助更清晰地划分高影响风险优先级的平台，可以支持安全团队更早地识别此类问题，并减少其环境中的暴露面。