Devolutions Server’ın, düşük ayrıcalıklı, kimliği doğrulanmış kullanıcıların MFA öncesi çerezleri yeniden oynatarak diğer hesapların kimliğine bürünmesine olanak tanıyan kritik bir güvenlik açığına karşı savunmasız olduğu tespit edildi.
CVE-2025-12485 olarak tanımlanan güvenlik açığı, 9,4 kritik CVSS puanı taşıyor ve 2025.3.5’e kadar olan tüm sürümleri etkiliyor.
Şirket bu durumu ve platformu etkileyen ikinci bir güvenlik açığını gidermek için yamalar yayınladı.
| CVE Kimliği | Şiddet | CVSS Puanı | Güvenlik Açığı |
|---|---|---|---|
| CVE-2025-12485 | Kritik | 9.4 | MFA öncesi çerez kullanımı sırasında uygun olmayan ayrıcalık yönetimi – kimliği doğrulanmış kullanıcıların, çerez yeniden oynatma yoluyla diğer hesapların kimliğine bürünmesine olanak tanır |
Kusur, Devolutions Server’ın kimlik doğrulama işlemi sırasında MFA öncesi çerezleri işleme biçiminde mevcuttur.
Düşük düzeyde erişime sahip bir saldırgan, meşru bir kullanıcının hesabını taklit etmek için MFA öncesi çerezi yakalayabilir ve yeniden oynatabilir.
Ancak güvenlik açığı, hedef hesabın çok faktörlü kimlik doğrulamasını tamamen atlamaz; bu da saldırganların tam erişim elde etmek için yine de MFA’yı tamamlaması gerektiği anlamına gelir.
Bu sınırlamaya rağmen, kullanıcıların kimliğine bürünme ve MFA aşamasına ulaşma yeteneği, kimlik bilgisi ve erişim yönetimi için Devolutions Server’ı kullanan kuruluşlar için ciddi bir güvenlik riski teşkil etmektedir.
Kimliğe bürünme güvenlik açığı, uygunsuz bir ayrıcalık yönetimi sorunu olarak sınıflandırılır. Bu, MFA öncesi aşamada kimlik doğrulama sisteminin kullanıcı kimliğini doğrulamasında temel bir kusur olduğunu gösteriyor.
Bu tür bir güvenlik açığı, saldırganların sistemler içinde yanlamasına hareket etmesine veya ayrıcalıklarını yükseltmesine olanak verebileceğinden, altyapıları genelinde ayrıcalıklı erişimi yönetmek için Devolutions Sunucusuna güvenen işletmeler için özellikle endişe vericidir.
Yüksek CVSS puanı 7,1 olan ikinci bir güvenlik açığı olan CVE-2025-12808 de açıklandı.
Bu kusur, salt görüntüleme kullanıcılarının hassas üçüncü düzey iç içe geçmiş alanlara erişmesine izin veren uygunsuz erişim kontrolünü içerir.
Özellikle, sınırlı salt görüntüleme izinlerine sahip kullanıcılar, hassas alanlardan şifre listelerini ve özel değerleri alabilir, böylece şifreler açığa çıkabilir.
Bu güvenlik açığı, rol tabanlı erişim kontrol sistemini zayıflatarak daha düşük ayrıcalıklara sahip kullanıcıların görememeleri gereken bilgilere erişmesine olanak tanır.
Devolutions, güvenlik güncellemeleriyle her iki güvenlik açığını da giderdi. Devolutions Server’ı kullanan kuruluşlar, derhal 2025.3.6.0 sürümüne veya daha yüksek bir sürüme ya da daha eski bir sürüm şubesi çalıştırıyorsa 2025.2.17.0 veya daha yüksek bir sürüme yükseltme yapmalıdır.
Şirket, kuruluşlara güvenlik açığı ve düzeltme yolları hakkında ayrıntılı bilgi sağlayan ilk güvenlik danışma belgesini 6 Kasım 2025’te yayınladı.
Bu iki güvenlik açığının eşzamanlı olarak açıklanması, erişim kontrol sistemlerinin güncel tutulmasının ve kimlik doğrulama mekanizmalarının düzenli olarak denetlenmesinin önemini vurgulamaktadır.
Ayrıcalıklı hesapları Devolutions Server aracılığıyla yöneten kuruluşlar, olası yetkisiz erişimi ve hesap kimliğine bürünme saldırılarını önlemek için bu yamaları uygulamaya öncelik vermelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.