Popüler bir merkezi şifre ve ayrıcalıklı erişim yönetimi çözümü olan Devolutions Server’da kritik bir güvenlik açığı keşfedildi.
Uzmanlar tarafından kritik önemde olarak derecelendirilen kusur, saldırganların hassas verileri çalmasına veya dahili kayıtları değiştirmesine olanak tanıyabiliyor.
Yazılımın arkasındaki şirket olan Devolutions, 27 Kasım 2025’te üç ayrı konuyu ayrıntılarıyla anlatan bir güvenlik danışma belgesi (DEVO-2025-0018) yayınladı.
Bunlardan en tehlikelisi, sunucunun günlük verilerini işleme biçimini etkileyen “SQL Enjeksiyonu” güvenlik açığıdır.
Kritik Risk: SQL Enjeksiyonu
En acil sorun CVE-2025-13757 olarak izleniyor. 10 üzerinden 9,4 güvenlik açığı puanı aldı ve bu da onu “Kritik” bir tehdit haline getirdi.
| CVE Kimliği | Şiddet | Puan (CVSS) | Tanım |
|---|---|---|---|
| CVE-2025-13757 | Kritik | 9.4 | SQL Enjeksiyonu |
| CVE-2025-13758 | Orta | 5.1 | Veriye Maruz Kalma |
| CVE-2025-13765 | Orta | 4.9 | Uygunsuz Erişim |
Bu güvenlik açığı yazılımın “son kullanım kayıtları” bölümünde ortaya çıkıyor. Özellikle kusur DateSortField adı verilen bir parametrede bulunmaktadır.
Bir kullanıcı bu özellikle etkileşime girdiğinde yazılım, veritabanına gönderilen bilgileri düzgün bir şekilde doğrulayamaz.
Bu eksik kontrol nedeniyle, sistemde zaten oturum açmış olan bir kullanıcı (“kimliği doğrulanmış kullanıcı”), gizli bilgileri açığa çıkarması için veritabanını kandırabilir.
En kötü senaryoda bu, kötü niyetli bir kişinin gizli verileri “sızdırmasına” (çalmasına) ve hatta sunucuda depolanan verileri değiştirmesine olanak tanır.
Devolutions Server şifreleri ve erişim anahtarlarını sakladığından bu verilerin çalınması kuruluşlar için önemli bir güvenlik riski oluşturur.
İki Ek Kusur Bulundu
Kritik kusurun yanı sıra, DCIT as’tan (JaGoTu olarak anılan) araştırmacılar iki “Orta” önem derecesine sahip sorun keşfettiler:
- Sızan Şifreler (CVE-2025-13758): Normalde sunucu girişleri listelediğinde yalnızca adlar veya kullanıcı adları gibi temel bilgileri göndermelidir. Şifrelerin yalnızca istendiğinde ayrıca gönderilmesi gerekmektedir. Ancak bir hata, ilk genel isteğe bazı şifrelerin dahil edilmesine ve bunların gereksiz yere açığa çıkmasına neden oldu.
- E-posta Hizmeti Erişimi (CVE-2025-13765): Bu kusur, e-posta ayarları yapılandırmasını içerir. Yönetici haklarına sahip olmayan kullanıcıların, yalnızca yöneticilerle sınırlandırılması gereken yapılandırılmış e-posta hizmetlerine ilişkin şifreleri görüntülemesine olanak tanıdı.
Sistem yöneticilerinin yazılımlarına derhal yama yapmaları tavsiye edilir. Güvenlik açıkları, Devolutions Server’ın 2025.2.20 ve önceki sürümlerinin yanı sıra 2025.3.8 ve önceki sürümlerini de etkiliyor.
Bu güvenlik açıklarını gidermek için kuruluşların aşağıdakilere yükseltme yapması gerekir:
- Sürüm 2025.2.21 (veya daha yüksek)
- Sürüm 2025.3.9 (veya daha yüksek)
Yazılım, bu güncellemeleri yükleyerek veritabanı isteklerini doğru bir şekilde filtreleyecek ve hassas kimlik bilgilerini gizleyerek potansiyel saldırganlara kapıyı kapatacaktır.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.