Krytyczna podatność typu SQL Injection w module remote-sessions produktu Devolutions Server umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie złośliwych zapytań bazodanowych. Ze względu na brak wymogu uwierzytelnienia i sieciowy wektor ataku, podatność stanowi poważne zagrożenie dla bezpieczeństwa danych.
▸ Pokaż oryginał (EN)
SQL Injection vulnerability in remote-sessions in Devolutions Server.This issue affects Devolutions Server 2025.3.1 through 2025.3.12
Podatność wynika z braku odpowiedniego walidowania i sanityzacji danych wejściowych przekazywanych do zapytań SQL w module remote-sessions (CWE-89). Atakujący może wstrzyknąć złośliwe fragmenty kodu SQL bezpośrednio poprzez sieć, bez konieczności posiadania jakichkolwiek poświadczeń. Złośliwe zapytania są następnie wykonywane przez silnik bazodanowy z uprawnieniami aplikacji.
Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przechowywanych w bazie danych, modyfikować lub usuwać dane, a potencjalnie przejąć kontrolę nad systemem — co odpowiada pełnemu naruszeniu poufności, integralności i dostępności.
Należy jak najszybciej zaktualizować Devolutions Server do wersji wyższej niż 2025.3.12, zgodnie z wytycznymi producenta dostępnymi pod adresem https://devolutions.net/security/advisories/DEVO-2026-0003/. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji Devolutions Server wyłącznie do zaufanych adresów IP.
Devolutions Server w wersjach od 2025.3.1 do 2025.3.12 włącznie.
Podatność opisana w oficjalnym biuletynie bezpieczeństwa producenta jako DEVO-2026-0003.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HDevolutions Server
APPDevolutions2025.3.1.0 – 2025.3.14.0 (bez)
Powiązane podatności
Authentication bypass w Devolutions Server przez sfałszowany JWT (Entra ID)
Devolutions Server: nieuprawnione usuwanie kont PAM przez bulk deletion
Devolutions Server — spoofing komunikatu błędu przez nieprawidłową walidację danych wejściowych
Devolutions Server – nieautoryzowane zatwierdzanie wniosków o dostęp tymczasowy
Devolutions Server – pominięcie uwierzytelnienia przez brute force kodów awaryjnych