概述
CVE-2025-11957是Devolutions Server中的一个基本用户权限提升漏洞,CVSS 3.1评分为8.4,属于高危漏洞。
漏洞描述
Devolutions Server 2025.2.12.0及更早版本的临时访问工作流程中存在授权不当问题。经过身份验证的基本用户能够通过精心构造的API请求自我批准或批准其他用户的临时访问请求,从而获得对保险库和条目的未授权访问权限。
漏洞时间线
- 发布日期:2025年10月22日 17:15
- 最后修改:2025年10月22日 21:12
- 远程利用:是
- 信息来源:security@devolutions.net
受影响产品
目前尚未记录受影响的具体产品信息:
- 受影响供应商总数:0
- 产品数量:0
CVSS评分
| 评分 | 版本 | 严重程度 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.4 | CVSS 3.1 | 高危 | - | 1.8 | 6.0 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 更新Devolutions Server以修复临时访问工作流程中的授权不当问题
- 应用供应商提供的Devolutions Server更新补丁
- 审查并限制临时访问批准权限
- 监控API请求中的未授权访问尝试
相关资源
咨询、解决方案和工具参考链接:
CWE分类
CWE-639:通过用户控制密钥绕过授权
漏洞评分详情
CVSS 3.1基础评分:8.4
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 高 | 低 | 无 | 改变 | 高 | 高 | 低 |