漏洞概述 Devolutions Server 存在多个漏洞,具体包括: 1. 不当访问控制暴露明文工单集成凭证 - 描述:Devolutions Server 的工单集成设置中存在不当访问控制,允许经过身份验证的低权限用户通过构造的 API 请求获取配置工单集成的明文凭证。 - CVSS 评分:7.1 High - CVE 编号:CVE-2026-10786 2. 内置 PAM 提供程序密码轮换模板中的注入 - 描述:Devolutions Server 的内置 PAM 提供程序密码轮换模板中存在特殊元素的不当中和,允许经过身份验证的用户对受影响的 PAM 提供程序管理的系统执行任意命令。 - CVSS 评分:6.5 Medium - CVE 编号:CVE-2026-10544 3. 删除用户组端点的缺失授权 - 描述:Devolutions Server 的删除用户组 API 中存在缺失授权,允许经过身份验证的低权限用户通过构造的 API 请求枚举已删除用户组的元数据。 - CVSS 评分:5.3 Medium - CVE 编号:CVE-2026-10787 影响范围 受影响产品: - Devolutions Server 2026.2.4.0 - Devolutions Server 2026.1.21.0 及更早版本 修复方案 修复措施: - 升级到 Devolutions Server 2026.2.5.0 或更高版本 - 升级到 Devolutions Server 2026.1.21.0 或更高版本 POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。