Peringatan Ancaman

Devolutions merilis pembaruan keamanan penting untuk Devolutions Server setelah ditemukan tiga kerentanan serius yang dapat membuka akses ke data sensitif, termasuk password vault dan kredensial layanan email. Celah ini sangat berbahaya karena menyasar sistem manajemen akses istimewa (privileged access / secrets management) yang biasanya menyimpan “kunci” ke banyak sistem lain di dalam organisasi.

Gambaran umum kerentanan

Kerentanan utama, CVE-2025-13757, adalah SQL injection terotentikasi di fitur Last Usage Logs yang memungkinkan pengguna berhak akses (authenticated user) menyuntikkan perintah SQL berbahaya melalui parameter DateSortField. Jika berhasil dieksploitasi, pelaku bisa membaca, mengubah, hingga menghapus data di database backend, termasuk seluruh isi vault dan kredensial yang tersimpan, dengan skor keparahan CVSS 9.4 (Critical).​

Dua celah lain memperburuk risiko kebocoran data. CVE-2025-13758 menyebabkan data sensitif seperti password ikut terkirim dalam respons yang seharusnya hanya berisi metadata non-rahasia, akibat filtrasi data yang tidak tepat. Sementara CVE-2025-13765 memungkinkan kredensial layanan email (misalnya password SMTP/notification) terekspos lewat API konfigurasi, sehingga pengguna non-admin bisa melihat password email service yang seharusnya hanya diketahui admin, dengan dampak langsung pada kerahasiaan akun email organisasi.​

Dampak bagi organisasi

Karena Devolutions Server umumnya dipakai sebagai pusat pengelolaan password, remote access, dan kredensial sistem penting, kompromi di level ini berpotensi “game over”. Eksploitasi SQL injection dapat memberikan akses penuh ke vault, memungkinkan pencurian semua password, kunci akses, dan rahasia lain yang kemudian bisa dipakai untuk:​

• Mengambil alih server, database, dan akun administratif lain di seluruh jaringan.

• Melakukan gerakan lateral, eskalasi hak akses, dan serangan lanjutan seperti ransomware atau pencurian data masif.

• Menggunakan kredensial email yang bocor untuk phishing bertarget, reset password layanan lain, atau penyalahgunaan layanan notifikasi internal.​

Walau sebagian kerentanan membutuhkan akun yang sudah login, di banyak organisasi, akun internal dengan hak akses cukup sering tersebar luas sehingga risiko insider threat atau akun yang sudah dibajak tetap tinggi.​

Versi terdampak dan patch

Ketiga kerentanan ini memengaruhi Devolutions Server hingga versi 2025.2.20 dan 2025.3.8. Vendor telah merilis perbaikan pada:​

• Devolutions Server 2025.2.21 dan lebih baru.

• Devolutions Server 2025.3.9 dan lebih baru.

Pembaruan ini memperbaiki SQL injection di endpoint log penggunaan, memperketat pemisahan data sensitif dari respons biasa, dan menutup kebocoran password layanan email di konfigurasi API.​

Rekomendasi tindakan

• Segera update seluruh instance Devolutions Server ke versi 2025.2.21 atau 2025.3.9 (atau yang lebih tinggi) sesuai branch yang digunakan di lingkungan Anda.​

• Batasi akses ke Devolutions Server hanya dari jaringan tepercaya atau melalui VPN/Zero Trust; jangan mengekspos antarmuka admin langsung ke internet.

• Tinjau ulang role dan permission pengguna, khususnya akun non-admin yang memiliki akses ke log dan konfigurasi; kurangi hak akses yang tidak diperlukan.

• Audit log akses dan query mencurigakan ke fitur Last Usage Logs serta panggilan API konfigurasi email untuk mencari indikasi penyalahgunaan historis.​

• Pertimbangkan rotasi massal password/kredensial penting jika ada kemungkinan instance pernah tereksploitasi, termasuk kredensial email yang digunakan untuk notifikasi atau reset password.

Referensi

• SecurityOnline.info – “Critical Devolutions Server Flaw (CVE-2025-13757) Allows Authenticated SQL Injection to Steal All Passwords”.​

• NVD / CVE – Detail resmi CVE-2025-13757 terkait SQL injection di last usage logs Devolutions Server.​

• Cyberpress / Purple-Ops – Ulasan teknis tentang rangkaian CVE-2025-13757, CVE-2025-13758, dan CVE-2025-13765 serta dampaknya pada kebocoran kredensial.