CVE-2025-11957 - Devolutions Server基本用户权限提升漏洞
漏洞概述
CVE-2025-11957是Devolutions Server中存在的一个权限提升漏洞,CVSS 3.1评分为8.4(高危级别)。
漏洞描述
Devolutions Server 2025.2.12.0及更早版本中的临时访问工作流程存在授权机制缺陷,允许经过身份验证的基本用户通过精心构造的API请求自我批准或批准其他用户的临时访问请求,从而获得对保险库和条目的未授权访问权限。
技术详情
受影响产品
- Devolutions Server 2025.2.12.0及更早版本
CVSS评分详情
- 基础评分: 8.4(高危)
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 低
- 用户交互: 不需要
- 影响范围: 变更
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 低
相关弱点枚举
- CWE-639: 通过用户控制密钥的授权绕过
解决方案
修复措施
- 应用供应商提供的Devolutions Server更新补丁
- 审查并限制临时访问批准权限
- 监控API请求中的未授权访问尝试
参考链接
- Devolutions安全公告 DEVO-2025-0015
时间线
- 发布日期: 2025年10月22日 17:15
- 最后修改: 2025年10月22日 21:12
- 远程利用: 是
漏洞历史记录
2025年10月22日
- 由security@devolutions.net报告新CVE
- 添加漏洞描述、CWE分类和参考链接
- 由134c704f-9b21-4f2e-91b3-4a467353bcc0添加CVSS V3.1评分
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
