Devolutions Server hedeflerinde bir dizi yeni güvenlik açığı Ayrıcalıklı hesapları, şifreleri ve hassas kimlik doğrulama verilerini yönetmek için platforma bağımlı olan kuruluşlar.
Devolutions, DEVO-2025-0018 olarak tanımlanan ve saldırganların gizli verileri doğrudan sistemin veritabanından çıkarmasına olanak tanıyan kritik bir kusur da dahil olmak üzere müşterileri birden fazla güvenlik açığı konusunda uyaran bir güvenlik danışma belgesi yayınladı.
Danışma belgesinde Devolutions Server’ın çeşitli sürümlerinin, özellikle 2025.2.20 ve önceki sürümlerin ve 2025.3.8 ve önceki sürümlerinin etkilendiği belirtiliyor.
Kritik SQL Enjeksiyon Güvenlik Açığı Veri Sızmasına Olanak Sağlıyor
CVSS 4.0 derecelendirme sistemi kapsamında 9,4 (Kritik) puan alan en ciddi sorun, platformun “son kullanım günlüklerindeki” SQL enjeksiyon zayıflığını içeriyor. Hata, sistemin DateSortField olarak bilinen bir parametre aracılığıyla kullanım geçmişini sıralamaya çalışmasıyla ortaya çıkıyor. Yazılım, bu alanda kullanıcı tarafından sağlanan girişi yeterince doğrulamadığından, kimliği doğrulanmış bir kullanıcı, kötü amaçlı SQL komutlarını doğrudan veritabanına enjekte edebilir.
CVE-2025-13757 olarak izlenen bu güvenlik açığı, oturum açmış bir saldırganın hassas bilgileri sızdırmasına veya değiştirmesine olanak tanıyarak Devolutions Server’ın yüksek değerli kimlik bilgilerini, erişim anahtarlarını ve ayrıcalıklı hesap verilerini depoladığı ortamlar için önemli bir tehdit oluşturur. Kusur, erişilemez kalması gereken bilgileri açığa çıkarabilir ve bu da onu platform için şimdiye kadar bildirilen en tehlikeli sorunlardan biri haline getirebilir.
Güvenlik açığının keşfedilmesi DCIT’in JaGoTu’suna atfedildi:
Orta Derecede İki Güvenlik Açığı da Keşfedildi
Aynı araştırma grubu, CVE-2025-13757’nin yanı sıra iki ek güvenlik zayıflığı daha tespit etti: CVE-2025-13758 ve CVE-2025-13765; her ikisi de orta önemde olarak sınıflandırılsa da, sıkı gizlilik gerektiren ortamlarda hala etkili.
CVE-2025-13758: Kısmi Giriş İsteklerinde Kimlik Bilgileri Sızdırıldı
Sorunlardan biri, genel öğe bilgilerine yönelik ilk talepte bazı giriş türlerinin hatalı bir şekilde şifreler içermesidir. Normalde parolalar gibi kimlik bilgileri yalnızca korumalı bir ağ aracılığıyla iletilir. /hassas-veri Bir kullanıcı kasıtlı olarak bunlara eriştiğinde istek.
Ancak bazı girişler, kimlik bilgilerinin vaktinden önce açığa çıkmasına neden olarak yetkisiz ifşa riskini artırdı. Bu güvenlik açığı 5.1 CVSS puanına sahiptir ve ayrıca danışma belgesinde listelenen ürün sürümlerini de etkiler.
CVE-2025-13765: E-posta Hizmeti Yapılandırmasında Uygunsuz Erişim Denetimi
4,9 CVSS olarak derecelendirilen ikinci Orta riskli kusur, platformun e-posta hizmeti yapılandırma API’sindeki uygunsuz erişim kontrollerini içeriyor. Birden fazla e-posta hizmeti kurulduğunda, yönetici ayrıcalıklarına sahip olmayan kullanıcılar yine de e-posta hizmeti şifrelerini alabilir ve bu da sistemin erişim kontrol modelini zayıflatabilir.
Her iki sorun da aynı şekilde JaGoTu, DCIT’e aktarıldı:
Gerekli Güncellemeler ve Düzeltme
Devolutions, her üç güvenlik açığını da düzeltmek için yamalı sürümlerin hemen kurulmasını önerir. Danışma belgesi, müşterilere Devolutions Server’ı aşağıdaki sürüme yükseltmeleri talimatını verir:
- Sürüm 2025.2.21 veya üzeri
- Sürüm 2025.3.9 veya üzeri
Bu güncellemelerin uygulanması, SQL ekleme girişimlerini engellemek, yetkisiz kimlik bilgilerinin açığa çıkmasını önlemek ve uygun erişim kontrolü korumalarını geri yüklemek için gereklidir. Bu yamalar olmadan kuruluşlar veri hırsızlığına, yetkisiz parola alımına ve uygunsuz kullanıcı ayrıcalıklarının yükseltilmesine karşı savunmasız kalır.
CVE-2025-13757, CVE-2025-13758 ve CVE-2025-13765’in tanımlanması, etkilenen tüm Devolutions Server dağıtımlarında anında yama uygulanması ihtiyacını doğrulamaktadır. Bu kusurlar hassas kimlik bilgilerini ve ayrıcalıklı erişim yollarını açığa çıkardığı için yama uygulanmamış sistemler ölçülebilir gizlilik ve operasyonel risklerle karşı karşıyadır.
Kuruluşlar önerilen güncellemeleri gecikmeden uygulamalı ve devam eden güvenlik açığı denetimlerini güçlendirmelidir. Gerçek zamanlı güvenlik açığı istihbaratı sağlayan ve yüksek etkili risklerin daha net bir şekilde önceliklendirilmesini sağlayan Cyble gibi platformlar, güvenlik ekiplerinin bu gibi sorunları daha erken tespit etmelerine ve ortamlarındaki riskleri azaltmalarına destek olabilir.
Saldırganlardan önce zayıf noktalarınızı görün. Rezervasyon yap kişiselleştirilmiş demo Cyble’ı bugün kullanın ve kuruluşunuz genelindeki kritik risklere, sıfır günlere ve yüksek etkili tehditlere ilişkin gerçek zamanlı görünürlük elde edin.