概述
CVE-2025-12485 - Devolutions Server权限提升漏洞
漏洞描述
Devolutions Server 2025.3.5.0及更早版本中,MFA前cookie处理期间存在不当的权限管理,允许经过身份验证的低权限用户通过重放MFA前cookie来冒充其他账户。此漏洞不会绕过目标账户的MFA验证步骤。
技术详情
受影响产品
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Devolutions | devolutions_server |
总计受影响供应商:1 | 产品:1
CVSS评分
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高危 | 2.8 | 5.9 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 更新Devolutions Server至版本2025.3.6或更高
- 审查并强制执行安全的cookie处理实践
- 实施更严格的会话管理控制
相关参考
CWE关联
CWE-269: 不当权限管理
CAPEC攻击模式
- CAPEC-58: Restful权限提升
- CAPEC-122: 权限滥用
- CAPEC-233: 权限提升
时间线
- 发布日期: 2025年11月6日 17:15
- 最后修改: 2025年11月6日 20:15
- 远程利用: 是
- 来源: security@devolutions.net
漏洞历史
2025年11月6日 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0修改
- 添加CVSS V3.1评分: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
2025年11月6日 - 由security@devolutions.net接收新CVE
- 添加漏洞描述
- 添加CWE-269
- 添加安全公告链接