CVE-2025-11957 - Devolutions Server基本用户权限提升漏洞
概述
漏洞描述
Devolutions Server 2025.2.12.0及更早版本的临时访问工作流中存在授权不当漏洞。经过身份验证的基本用户可以通过精心构造的API请求自我批准或批准其他用户的临时访问请求,从而获得对保险库和条目的未授权访问权限。
漏洞时间线
发布日期:2025年10月22日 17:15
最后修改:2025年10月22日 21:12
远程利用:是
来源:security@devolutions.net
受影响产品
以下产品受到CVE-2025-11957漏洞影响:
| ID | 供应商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Devolutions | devolutions_server |
受影响供应商总数:1 | 产品数量:1
CVSS评分
CVSS 3.1评分:8.4(高危)
| 评分 | 版本 | 严重性 | 向量 | 可利用性评分 | 影响评分 | 来源 |
|---|---|---|---|---|---|---|
| 8.4 | CVSS 3.1 | 高危 | 1.8 | 6.0 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 更新Devolutions Server以修复临时访问工作流中的授权不当问题
- 应用供应商提供的Devolutions Server更新补丁
- 审查并限制临时访问批准权限
- 监控API请求中的未授权访问尝试
参考资源
URL:https://devolutions.net/security/advisories/DEVO-2025-0015/
CWE - 通用弱点枚举
CWE-639:通过用户控制密钥绕过授权
漏洞评分详情
CVSS 3.1
基础CVSS评分:8.4
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 高 | 低 | 无 | 改变 | 高 | 高 | 低 |
漏洞历史记录
CVE修改:由134c704f-9b21-4f2e-91b3-4a467353bcc0于2025年10月22日修改
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:L |
新CVE接收:由security@devolutions.net于2025年10月22日接收
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Devolutions Server临时访问工作流中的授权不当问题描述 | |
| 添加 | CWE | CWE-639 | |
| 添加 | 参考 | https://devolutions.net/security/advisories/DEVO-2025-0015/ |