Devolutions Serverに重大な脆弱性が発覚
人気の集中型パスワードおよび特権アクセス管理ソリューションであるDevolutions Serverに、重大なセキュリティ脆弱性が発見されました。専門家によって「深刻度:クリティカル」と評価されたこの脆弱性は、攻撃者による機密データの窃取や内部記録の改ざんを許してしまう可能性があります。
ソフトウェアの開発元であるDevolutions社は、2025年11月27日にセキュリティアドバイザリ(DEVO-2025-0018)を公開し、詳細を明らかにしました。アドバイザリでは3つの異なる問題が詳述されており、その中でも最も危険なのは、サーバーがログデータを処理する方法に影響を与える「SQLインジェクション」の脆弱性です。
最も危険な脅威:SQLインジェクション
最も緊急性の高い問題はCVE-2025-13757として追跡されており、脆弱性スコアは9.4/10と評価され、「クリティカル」な脅威に分類されています。この脆弱性の詳細は以下の通りです。
- CVE ID: CVE-2025-13757
- 深刻度: Critical
- CVSSスコア: 9.4
- 説明: SQL Injection
この脆弱性は、ソフトウェアの「最終使用ログ」セクションに存在します。具体的には、DateSortFieldというパラメータに欠陥があり、ユーザーがこの機能とやり取りする際に、データベースに送信される情報が適切に検証されないことに起因します。このチェックの欠如により、既にシステムにログインしているユーザー(「認証済みユーザー」)は、データベースを騙して隠された情報を開示させることが可能です。
最悪のシナリオでは、悪意のある行為者が機密データを「エクスフィルトレート」(窃取)したり、サーバーに保存されているデータを変更したりする可能性があります。Devolutions Serverがパスワードやアクセスキーを保存しているため、このデータが窃取される可能性は、組織にとって重大なセキュリティリスクとなります。
その他2つの脆弱性
クリティカルな欠陥に加えて、DCIT a.s.(JaGoTuとしてクレジット)の研究者らは、2つの「中程度」の深刻度の問題を指摘しています。
- パスワード漏洩 (CVE-2025-13758): 通常、サーバーがエントリをリストする際、名前やユーザー名などの基本情報のみを送信すべきですが、バグにより一部のパスワードが最初の一般的なリクエストに含まれてしまい、不必要に公開されていました。
- メールサービスアクセス (CVE-2025-13765): この欠陥は、メール設定の構成に関連するものです。管理者権限を持たないユーザーが、管理者のみに制限されるべき設定済みメールサービスのパスワードを閲覧できてしまう問題でした。
システム管理者は直ちにパッチを適用してください
システム管理者は、直ちにソフトウェアにパッチを適用するよう強く求められています。
これらの脆弱性は、Devolutions Serverの以下のバージョンに影響します。
- バージョン 2025.2.20 およびそれ以前
- バージョン 2025.3.8 およびそれ以前
これらのセキュリティホールを修正するには、以下のバージョンにアップグレードする必要があります。
- バージョン 2025.2.21 (またはそれ以降)
- バージョン 2025.3.9 (またはそれ以降)
これらのアップデートをインストールすることにより、ソフトウェアはデータベースリクエストを正しくフィルタリングし、機密情報を隠すことで、潜在的な攻撃者からの侵入経路を閉鎖します。
元記事: https://gbhackers.com/devolutions-server-hit-by-sql-injection-flaw/