Devolutions Server 中存在严重漏洞（CVE-2025-13757），已认证的攻击者可利用SQL注入窃取所有存储的密码

Devolutions 已为其旗舰自托管密码管理解决方案 Devolutions Server 发布 紧急安全更新，修复三个可能泄露敏感凭据的漏洞。其中最严重的是 高风险 SQL 注入缺陷，攻击者可利用该漏洞窃取或篡改关键数据。

漏洞详情

最值得关注的漏洞是 CVE-2025-13757，CVSS 评分高达 9.4（严重）。该漏洞存在于系统的日志机制中，安全公告指出其为“通过最近使用日志中的 DateSortField 参数进行 SQL 注入”。此疏忽“允许已认证用户泄露或修改数据”——攻击者可通过操纵该参数，绕过标准安全控制直接查询底层数据库。

第二个漏洞 CVE-2025-13758（CVSS 5.1）暴露了服务器传输敏感信息的缺陷。通常，Devolutions Server 将数据请求分为两部分：元数据（名称、用户名、日期）的常规请求，以及需要时单独获取密码等凭据的 /sensitive-data 请求。但研究人员发现，对于特定条目类型，系统会“在首次请求中错误包含密码”，这意味着仅查看条目列表就可能在用户明确请求前，通过网络无意中传输密码。

第三个漏洞 CVE-2025-13765（CVSS 4.9）影响电子邮件服务配置 API。报告指出，当配置多个电子邮件服务时，该漏洞会“向非管理员用户返回电子邮件服务密码”，可能导致普通用户未授权访问组织的电子邮件基础设施凭据。

修复与建议

Devolutions 敦促所有管理员立即修补实例以关闭这些安全缺口。漏洞已在以下版本中修复：

1. Devolutions Server 2025.2.21 或更高版本
2. Devolutions Server 2025.3.9 或更高版本

使用 Devolutions Server 控制特权账户和业务用户密码访问的组织，应优先进行此次更新，以维护密钥管理基础设施的完整性。