漏洞概述 Devolutions Server 存在多个漏洞,主要涉及不当访问控制问题。具体包括: 1. PAM 账户发现结果中的不当访问控制 - CVE 编号: CVE-2026-11890 - CVSS 评分: 5.3 (Medium) - 描述: Devolutions Server 2026.2.5 和 2026.1.21 允许经过身份验证的用户检索未经授权的账户发现扫描结果。 2. 社交登录连接端点中的不当访问控制 - CVE 编号: CVE-2026-12117 - CVSS 评分: 5.3 (Medium) - 描述: Devolutions Server 2026.2.5 允许经过身份验证的 Vault 成员枚举社交登录条目元数据,这些元数据他们无权访问。 3. 文件夹复制中的不当访问控制 - CVE 编号: CVE-2026-12105 - CVSS 评分: 6 (Medium) - 描述: Devolutions Server 2026.2.5 和 2026.1.21 允许经过身份验证的用户通过文件夹复制访问附件,并继承权限。 影响范围 受影响产品: - Devolutions Server 2026.2.5 及更早版本 - Devolutions Server 2026.1.21 及更早版本 修复方案 PAM 账户发现结果中的不当访问控制: - 升级到 Devolutions Server 2026.2.7 或 2026.1.22 社交登录连接端点中的不当访问控制: - 升级到 Devolutions Server 2026.2.7 文件夹复制中的不当访问控制: - 升级到 Devolutions Server 2026.2.7 或更高版本,或 2026.1.22 或更高版本 POC 代码或利用代码 页面中未提供具体的 POC 代码或利用代码。