Devolutions Server Hit by SQL Injection Flaw Allowing Data Theft
2025/12/01 gbhackers — 集中型パスワード/特権アクセスを管理する Devolutions Server に、深刻な脆弱性が発見された。開発元の Devolutions は、2025年11月27日にセキュリティ・アドバイザリ (DEVO-2025-0018) を公表して3件の脆弱性に対処した。最も危険なのは、サーバのログデータ処理に影響を及ぼす SQLインジェクション 脆弱性である。この欠陥を悪用する攻撃者は、機密データの窃取や内部記録の改竄を可能にするとされており、専門家たちは深刻度 Critical と評価している。
3件の脆弱性
上記の SQL インジェクションの脆弱性 CVE-2025-13757 は、CVSS スコアは 9.4 (Critical) と評価されている。この脆弱性は “last usage logs” セクションに存在し、DateSortField パラメータ問題に起因する。
| CVE ID | Severity | Score (CVSS) | Description |
|---|---|---|---|
| CVE-2025-13757 | Critical | 9.4 | SQL Injection |
| CVE-2025-13758 | Medium | 5.1 | Data Exposure |
| CVE-2025-13765 | Medium | 4.9 | Improper Access |
この機能を操作するユーザーは、データベースに送信される情報を適切に検証できない状況にある。この検証の不足により、認証済みユーザーがデータベースを操作する際に、機密情報を開示してしまう可能性がある。
Devolutions Server はパスワードやアクセス・キーを保存するため、これらの情報が窃取されるとユーザー組織に極めて深刻なセキュリティ・リスクが生じる。
その他の2件の脆弱性が発見された
DCIT a.s. の研究者 JaGoTu は、前述の深刻な欠陥に加えて、Medium レベルの2件の脆弱性を発見している。
- CVE-2025-13758 (パスワード漏洩):通常、サーバがエントリを一覧表示する際には、名前やユーザー名などの基本情報のみを送信し、パスワードに関しては要求があった場合にのみ別途送信される。しかし、このバグにより、最初の通常のリクエストに一部のパスワードが含まれ、漏洩する可能性がある。
- CVE-2025-13765 (メールサービスへの不正アクセス):この欠陥はメール設定に関わるものであり、管理者権限を持たないユーザーが、設定済みのメールサービスのパスワードを閲覧できる状態になっていた。本来、この情報は管理者のみが閲覧できる。
推奨される対応策
これらの脆弱性が影響を及ぼす範囲は、バージョン 2025.2.20 以下/2025.3.8 以下である。システム管理者に対して強く推奨されるのは、Devolutions Server に対して直ちにパッチを適用することだ。セキュリティ・ホールを修正する際には、以下のバージョンにアップグレードする必要がある:
- バージョン 2025.2.21 以降
- バージョン 2025.3.9 以降
これらのアップデートを適用することで、ソフトウェアはデータベース・リクエストを適切にフィルタリングし、機密性の高い認証情報を保護できるようになる。それにより、潜在的な侵入を阻止できる。
Devolutions Server の脆弱性は、データベースに渡される入力を、十分に検証していないことに起因します。特に、DateSortField パラメータの不適切な取り扱いにより SQL インジェクションが生じ、ログ情報の処理が攻撃に利用される可能性が懸念されます。ご利用のチームは、ご注意ください。よろしければ、Devolutions での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.