关键漏洞信息 漏洞概述 ID: DEVO-2025-0011 摘要: Devolutions Server 受到多种漏洞的影响。 严重性: 中等 影响的产品 Devolutions Server 修复版本 见受影响产品的修复版本。 具体漏洞详情 用户 MFA 功能中的不当访问控制 描述: 在 Devolutions Server 2025.1.70 及更早版本中,用户管理权限的用户可以移除或更改管理员的 MFA。 CVE: CVE-2025-5382 CVSS 分数: 6.9 (AV:N/AC:L/AT:H/PR:H/UI:N/VC:N/VH:H/VA:N/SC:N/S:H/SA:N) 修复建议: 升级到 Devolutions Server 2025.1.9.0 或更高版本。 Tor 网络阻止功能中的不当访问控制 描述: 在 Devolutions Server 2025.1.10.0 及更早版本中,当 Devolutions 托管端点不可达时,经过身份验证的用户可以绕过 Tor 阻止功能。 CVE: CVE-2025-3768 CVSS 分数: 2.3 (AV:N/AC:H/AT:F/PR:L/UI:N/VC:L/VH:L/VA:L/SC:N/S:U/SA:N) 修复建议: 升级到 Devolutions Server 2025.2.2.0 或更高版本。 权限组件中的不当访问控制 描述: 在 Devolutions Server 2025.1.10.0 及更早版本中,经过身份验证的用户可以通过绕过客户端验证来绕过“编辑权限”权限。 CVE: CVE-2025-0691 CVSS 分数: 5.3 (AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VH:L/VA:L/SC:N/S:U/SA:N) 修复建议: 升级到 Devolutions Server 2025.2.2.0 或更高版本。