Devolutions Server权限提升漏洞分析与修复指南

CVE-2025-11957 - Devolutions Server基本用户权限提升漏洞

漏洞概述

CVE-2025-11957是Devolutions Server中存在的一个权限提升漏洞，CVSS 3.1评分为8.4（高危级别）。

漏洞描述

Devolutions Server 2025.2.12.0及更早版本中的临时访问工作流程存在授权机制缺陷，允许经过身份验证的基本用户通过精心构造的API请求自我批准或批准其他用户的临时访问请求，从而获得对保险库和条目的未授权访问权限。

技术详情

受影响产品

• Devolutions Server 2025.2.12.0及更早版本

CVSS评分详情

• 基础评分: 8.4（高危）
• 攻击向量: 网络
• 攻击复杂度: 高
• 所需权限: 低
• 用户交互: 不需要
• 影响范围: 变更
• 机密性影响: 高
• 完整性影响: 高
• 可用性影响: 低

相关弱点枚举

• CWE-639: 通过用户控制密钥的授权绕过

解决方案

修复措施

1. 应用供应商提供的Devolutions Server更新补丁
2. 审查并限制临时访问批准权限
3. 监控API请求中的未授权访问尝试

参考链接

• Devolutions安全公告 DEVO-2025-0015

时间线

• 发布日期: 2025年10月22日 17:15
• 最后修改: 2025年10月22日 21:12
• 远程利用: 是

漏洞历史记录

2025年10月22日

• 由security@devolutions.net报告新CVE
• 添加漏洞描述、CWE分类和参考链接
• 由134c704f-9b21-4f2e-91b3-4a467353bcc0添加CVSS V3.1评分
  更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
  对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

公众号二维码