CRITICAL🇬🇧 English

CVE-2026-0610

SQL Injection w module remote-sessions Devolutions Server

CVSS 9.8v3.1pub. 2026-01-19upd. 2026-02-10

Krytyczna podatność typu SQL Injection w module remote-sessions produktu Devolutions Server umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań bazodanowych. Ze względu na brak wymogu uwierzytelnienia i sieciowy wektor ataku, podatność stanowi poważne zagrożenie dla bezpieczeństwa danych.

Pokaż oryginał (EN)

SQL Injection vulnerability in remote-sessions in Devolutions Server.This issue affects Devolutions Server 2025.3.1 through 2025.3.12

🤖 Analiza AI
Jak działa

Podatność wynika z braku odpowiedniego walidowania i sanityzacji danych wejściowych przekazywanych do zapytań SQL w module remote-sessions (CWE-89). Atakujący może wstrzyknąć złośliwe fragmenty kodu SQL bezpośrednio poprzez sieć, bez konieczności posiadania jakichkolwiek poświadczeń. Złośliwe zapytania są następnie wykonywane przez silnik bazodanowy z uprawnieniami aplikacji.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a potencjalnie przejąć kontrolę nad systemem — co odpowiada pełnemu naruszeniu poufności, integralności i dostępności.

Mitygacja

Należy jak najszybciej zaktualizować Devolutions Server do wersji wyższej niż 2025.3.12, zgodnie z wytycznymi producenta dostępnymi pod adresem https://devolutions.net/security/advisories/DEVO-2026-0003/. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji Devolutions Server wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Devolutions Server w wersjach od 2025.3.1 do 2025.3.12 włącznie.

Uwagi

Podatność opisana w oficjalnym biuletynie bezpieczeństwa producenta jako DEVO-2026-0003.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Devolutions Server

    APP
    Devolutions
    2025.3.1.0 – 2025.3.14.0 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
SQLi
CWE
Referencje

Powiązane podatności

CVE-2026-3224CRITICAL9.8PL ✓ten sam produkt

Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)

CVE-2026-3130CRITICAL9.8PL ✓ten sam produkt

Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion

CVE-2026-3204CRITICAL9.8PL ✓ten sam produkt

Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych

CVE-2025-11957CRITICAL9.0PL ✓ten sam produkt

Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy

CVE-2025-6523CRITICAL9.5PL ✓ten sam produkt

Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych