Devolutions Server 存在严重漏洞（CVE-2025-12485，CVSS 9.4），可通过预 MFA Cookie 劫持实现用户冒充

Devolutions 作为领先的特权访问管理（PAM）和远程连接解决方案提供商，近日发布了紧急安全通告，针对其自托管的 Devolutions Server 产品中存在的两项严重漏洞进行修复。该产品被企业广泛用于控制对特权账户和业务用户密码的访问。

此次修复的两个漏洞分别被标记为 CVE-2025-12485 和 CVE-2025-12808，均对自托管环境构成威胁。

🚨 漏洞一：CVE-2025-12485（CVSS 9.4）

该漏洞源于 预 MFA Cookie 处理过程中的权限管理不当。Devolutions 官方指出，已通过认证的低权限用户可通过重放特定的认证令牌——即预 MFA Cookie——冒充其他用户账户。

“Devolutions Server 在处理预 MFA Cookie 时，特权管理不当，允许低权限的已认证用户通过重放预 MFA Cookie 冒充其他账户。”

尽管该漏洞并未绕过目标账户的 MFA 验证步骤，但已登录的攻击者仍可能借此伪装成更高权限用户，实现权限提升或横向移动。

此类冒充行为可能导致：

• 对关键资产的未授权访问
• 审计日志被篡改
• 特权管理工作流配置被恶意修改

🚨 漏洞二：CVE-2025-12808（CVSS 7.1）

该漏洞由 Devolutions Server 在处理嵌套字段时访问控制不当 引起。在受影响版本中，通常仅具备“只读”权限的用户（View-only 用户）能够访问包含敏感信息的第三层嵌套字段，例如自定义值或明文凭证。

“Devolutions Server 中的访问控制不当，允许 View-only 用户检索敏感的第三层嵌套字段，例如密码列表和自定义值，从而导致密码泄露。”

这一缺陷可能导致：

• 存储的密码或配置密钥被窃取
• 破坏职责分离模型
• 敏感凭证信息泄露

✅ 修复方案

这两个漏洞影响了多个版本的 Devolutions Server 2025，官方已在最新维护更新中提供修复补丁：

• 升级至 Devolutions Server 2025.3.6.0 或更高版本
• 升级至 Devolutions Server 2025.2.17.0 或更高版本

Devolutions 强调，升级是唯一有效的修复方式，目前没有配置层面的临时解决方案可以完全缓解上述漏洞。

建议所有使用 Devolutions Server 的企业尽快安排升级，以避免潜在的安全风险。