概要
Devolutions Serverにおいて、低権限の認証済みユーザーが多要素認証(MFA)前のクッキーを再利用することで、他のアカウントになりすませる重大なセキュリティ脆弱性が発見されました。この脆弱性はCVE-2025-12485として識別され、CVSSスコア9.4(Critical)と評価されています。
脆弱性の詳細
この脆弱性は、Devolutions Serverが認証プロセス中にMFA前のクッキーを処理する方法に存在します。攻撃者は、低レベルのアクセス権限を持つ場合、正当なユーザーのMFA前クッキーを傍受し、それを再利用してそのアカウントになりすますことが可能です。この脆弱性はMFAを完全にバイパスするものではなく、攻撃者は依然としてMFAを完了する必要がありますが、ユーザーになりすましてMFAステージに到達できるという点で、組織にとって深刻なセキュリティリスクをもたらします。
このなりすまし脆弱性は、不適切な権限管理の問題として分類されており、MFA前の段階におけるユーザー識別の検証における認証システムの根本的な欠陥を示しています。特に、インフラ全体で特権アクセスを管理するためにDevolutions Serverに依存している企業にとって、攻撃者がシステム内で横方向に移動したり、権限を昇格させたりする可能性を考慮すると、この種の脆弱性は非常に懸念されます。
もう一つの脆弱性
同時に、CVSSスコア7.1(High)の別の脆弱性、CVE-2025-12808も開示されました。この脆弱性は、不適切なアクセス制御に関するもので、閲覧専用ユーザーが機密性の高い第三レベルのネストされたフィールドにアクセスできるというものです。具体的には、限定された閲覧専用権限を持つユーザーが、パスワードリストやカスタム値を機密フィールドから取得できるため、パスワードが漏洩する可能性があります。この脆弱性は、ロールベースアクセス制御システムを損ない、低権限のユーザーが本来アクセスできない情報にアクセスすることを許してしまいます。
推奨される対策
Devolutionsは、これら両方の脆弱性に対処するためのセキュリティアップデートをリリースしています。Devolutions Serverを使用している組織は、直ちにバージョン2025.3.6.0以降にアップグレードするか、古いリリースブランチを使用している場合は2025.2.17.0以降にアップグレードする必要があります。同社は、2025年11月6日に最初のセキュリティアドバイザリを公開し、脆弱性の詳細と修正パスを提供しました。
まとめ
これら二つの脆弱性の同時開示は、最新のアクセス制御システムを維持し、認証メカニズムを定期的に監査することの重要性を浮き彫りにしています。Devolutions Serverを通じて特権アカウントを管理している組織は、潜在的な不正アクセスやアカウントなりすまし攻撃を防ぐために、これらのパッチの適用を最優先事項とすべきです。