Servidor de Devoluções atingido por falha de injeção de SQL, permitindo roubo de dados – Against Invaders

Servidor de Devoluções atingido por falha de injeção de SQL, permitindo roubo de dados - Against Invaders

Uma vulnerabilidade crítica de segurança foi descoberta no Devolutions Server, uma solução popular de gerenciamento de senha centralizada e acesso privilegiado.

A falha, classificada como crítica por especialistas, pode permitir que invasores roubem dados confidenciais ou modifiquem registros internos.

Devolutions, a empresa por trás do software, lançado um comunicado de segurança (DEVO-2025-0018) em 27 de novembro de 2025, detalhando três questões distintas.

A mais perigosa delas é uma vulnerabilidade de “injeção de SQL” que afeta a forma como o servidor lida com os dados de log.

O risco crítico: injeção de SQL

O problema mais urgente é rastreado comoCVE-2025-13757. Ele recebeu uma pontuação de vulnerabilidade de 9,4 em 10, o que o torna uma ameaça “crítica”.

ID do CVE Gravidade Pontuação (CVSS) Descrição
CVE-2025-13757 Crítico 9.4 Injeção SQL
CVE-2025-13758 Médio 5.1 Exposição de dados
CVE-2025-13765 Médio 4.9 Acesso Indevido

Esta vulnerabilidade ocorre na seção “últimos registros de uso” do software. Especificamente, a falha existe em um parâmetro chamadoDateSortField.

Quando um usuário interage com este recurso, o software não consegue verificar corretamente as informações enviadas ao banco de dados.

Devido a essa verificação ausente, um usuário que já esteja logado no sistema (um “usuário autenticado”) pode enganar o banco de dados para que revele informações ocultas.

Na pior das hipóteses, isso permite que um mau ator “exfiltre” (roube) dados confidenciais ou até mesmo alterar dados armazenados no servidor.

Como o Devolutions Server armazena senhas e chaves de acesso, a capacidade de roubar esses dados representa um risco de segurança significativo para as organizações.

Duas falhas adicionais encontradas

Juntamente com a falha crítica, pesquisadores do DCIT (creditados como JaGoTu) descobriram dois problemas de gravidade “Média”:

  1. Senhas vazadas (CVE-2025-13758):Normalmente, quando o servidor lista entradas, ele deve enviar apenas informações básicas como nomes ou nomes de usuário. Senhas devem ser enviados separadamente somente quando solicitado. Porém, um bug fez com que algumas senhas fossem incluídas nessa primeira solicitação geral, expondo-as desnecessariamente.
  2. Acesso ao serviço de e-mail (CVE-2025-13765):Esta falha envolve a configuração das configurações de e-mail. Ele permitiu que usuários sem direitos administrativos visualizassem senhas de serviços de e-mail configurados, que deveriam ser restritos apenas a administradores.

Os administradores de sistema são incentivados a corrigir seu software imediatamente. As vulnerabilidades afetam as versões do Devolutions Server 2025.2.20 e anteriores, bem como 2025.3.8 e anteriores.

Para corrigir essas falhas de segurança, as organizações devem atualizar para:

  • Versão 2025.2.21(ou superior)
  • Versão 2025.3.9(ou superior)

Ao instalar essas atualizações, o software filtrará corretamente as solicitações do banco de dados e ocultará credenciais confidenciais, fechando a porta para possíveis invasores.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.