CRITICAL🇬🇧 English

CVE-2025-6523

Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych

CVSS 9.5v4.0pub. 2025-07-22upd. 2025-11-25

Podatność w komponencie awaryjnego uwierzytelnienia Devolutions Server pozwala nieuwierzytelnionemu atakującemu na ominięcie mechanizmu logowania poprzez atak brute force na krótkie kody awaryjne. Wysoka ocena CVSS 9.5 wynika z możliwości uzyskania nieautoryzowanego dostępu do serwera zarządzania hasłami bez jakichkolwiek uprawnień wstępnych.

Pokaż oryginał (EN)

Use of weak credentials in emergency authentication component in Devolutions Server allows an unauthenticated attacker to bypass authentication via brute forcing the short emergency codes generated by the server within a feasible timeframe. This issue affects the following versions : * Devolutions Server 2025.2.2.0 through 2025.2.3.0 * Devolutions Server 2025.1.11.0 and earlier

🤖 Analiza AI
Jak działa

Komponent awaryjnego uwierzytelnienia (emergency authentication) generuje krótkie, słabe kody dostępu. Ze względu na ograniczoną przestrzeń możliwych wartości, atakujący sieciowy jest w stanie w realnym czasie wyczerpać wszystkie kombinacje i trafić na prawidłowy kod (atak brute force). Mechanizm nie stosuje dostatecznej ochrony przed wielokrotnym zgadywaniem — odpowiada to kategorii CWE-1391 (Use of Weak Credentials). Atak nie wymaga żadnej interakcji ze strony użytkownika ani wcześniejszych uprawnień, choć wektor wskazuje na pewne warunki środowiskowe (AC:H, AT:P) wymagane do jego przeprowadzenia.

Skutki

Skuteczny atak pozwala atakującemu na pełne ominięcie uwierzytelnienia i uzyskanie nieautoryzowanego dostępu do Devolutions Server, co może prowadzić do przejęcia kontroli nad zarządzanymi poświadczeniami oraz skompromitowania systemów zależnych.

Mitygacja

Należy niezwłocznie zaktualizować Devolutions Server do wersji nowszej niż 2025.2.3.0 (poza podatnym zakresem) oraz zastosować patche wskazane w oficjalnym biuletynie bezpieczeństwa producenta: https://devolutions.net/security/advisories/DEVO-2025-0012/. Do czasu aktualizacji zaleca się rozważenie wyłączenia lub ograniczenia dostępu do komponentu awaryjnego uwierzytelnienia.

Kogo dotyczy

Devolutions Server w wersjach 2025.2.2.0 oraz 2025.2.3.0, a także Devolutions Server 2025.1.11.0 i wcześniejsze

Uwagi

Podatność dotyczy wyłącznie określonych wersji z gałęzi 2025.x; wersje starsze niż 2025.1.11.0 również są podatne. Szczegóły techniczne opublikowane przez producenta dostępne są pod adresem DEVO-2025-0012.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Devolutions Server

    APP
    Devolutions
    ≤ 2025.1.11.02025.2.2.0 – 2025.2.4.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-3130CRITICAL9.8PL ✓ten sam produkt

Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion

CVE-2026-3224CRITICAL9.8PL ✓ten sam produkt

Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)

CVE-2026-3204CRITICAL9.8PL ✓ten sam produkt

Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych

CVE-2026-0610CRITICAL9.8PL ✓ten sam produkt

SQL Injection w module remote-sessions Devolutions Server

CVE-2025-11957CRITICAL9.0PL ✓ten sam produkt

Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy