Vulnérabilité SQL Injection critique dans Devolutions Server : données sensibles exposées
Églantine Montclair
Vulnérabilité SQL Injection critique dans Devolutions Server : données sensibles exposées
Une série de nouvelles vulnérabilités a été découverte dans Devolutions Server, mettant en danger les organisations qui dépendent de cette plateforme pour gérer les comptes privilégiés, les mots de passe et les données d’authentification sensibles. Selon un récent rapport, cette faille de sécurité critique pourrait permettre aux attaquants d’extraire directement des informations confidentielles de la base de données de l’entreprise.
Devolutions a publié un bulletin de sécurité, identifié sous le numéro DEVO-2025-0018, alertant ses clients de plusieurs vulnérabilités, dont une faille critique qui pourrait permettre aux attaquants d’extraire des données confidentielles directement de la base de données du système. Selon l’ANSSI, les vulnérabilités de ce type représentent plus de 65% des attaques réussies contre les systèmes d’information en France.
L’avis de sécurité indique que plusieurs versions de Devolutions Server, spécifiquement les versions 2025.2.20 et antérieures, ainsi que les versions 2025.3.8 et antérieures, sont concernées par ces failles. Les organisations utilisant ces versions doivent agir rapidement pour se protéger contre les risques de cyberattaques.
Impact critique de la faille CVE-2025-13757
Explication technique de la vulnérabilité
La problème le plus grave, noté 9.4 (Critique) selon le système de notation CVSS 4.0, concerne une faiblesse d’injection SQL dans la fonction “journaux d’utilisation récente” de la plateforme. La faille se produit lorsque le système tente de trier l’historique d’utilisation via un paramètre connu sous le nom de DateSortField. Étant donné que le logiciel ne valide pas suffisamment les entrées fournies par l’utilisateur dans ce champ, un utilisateur authentifié peut injecter des commandes SQL malveillantes directement dans la base de données.
Cette vulnérabilité, référencée sous le nom CVE-2025-13757, permet à un attaquant connecté d’exfiltrer ou de modifier des informations sensibles. La faille peut révéler des informations qui devraient rester inaccessibles, ce qui en fait l’un des problèmes les plus dangereux jamais signalés pour la plateforme. Dans la pratique, un seul attaquant pourrait ainsi compromettre l’ensemble des données sensibles stockées dans Devolutions Server.
Risques pour les organisations
Les conséquences de cette vulnérabilité sont particulièrement préoccupantes pour les entreprises qui utilisent Devolutions Server pour stocker des informations à haute valeur, telles que des identifiants d’accès, des clés d’accès et des données de comptes privilégiés. Selon une étude récente, 78% des entreprises françaises ont subi une fuite de données au cours des deux dernières années, avec des coûts moyens dépassant 4,5 millions d’euros par incident.
“Cette vulnérabilité représente une menace directe sur la confidentialité des informations sensibles des organisations. Dans un contexte où les attaques ciblées augmentent de 30% par an, il est impératif que les entreprises mettent à jour leurs systèmes dès que possible.” - Expert en sécurité de l’ANSSI
Les organisations qui ne corrigent pas cette faille s’exposent à plusieurs risques majeurs :
- Fuite de données sensibles
- Vol d’identifiants privilégiés
- Escalade de privilèges
- Attaques de type man-in-the-middle
- Perte de confiance des clients
Deux autres vulnérabilités de gravité moyenne
CVE-2025-13758 : fuite d’identifiants
Outre la faille critique CVE-2025-13757, le même groupe de recherche a identifié deux faiblesses supplémentaires, CVE-2025-13758 et CVE-2025-13765, toutes les deux classées de gravité moyenne, mais toujours impactantes dans les environnements exigeant une stricte confidentialité.
Le problème concerne certains types d’entrées qui incluent inappropriément les mots de passe dans la requête initiale d’informations sur les articles généraux. Normalement, les informations d’identification telles que les mots de passe ne sont transmises que via une requête protégée /sensitive-data lorsque l’utilisateur y accède intentionnellement.
Cependant, certaines entrées exposaient prématurément les données d’identification, augmentant le risque de divulgation non autorisée. Cette vulnérabilité possède un score CVSS de 5.1 et affecte également les mêmes versions de produits listées dans l’avis de sécurité.
CVE-2025-13765 : contrôle d’accès incorrect
La deuxième faille à risque moyen, notée 4.9 CVSS, concerne un contrôle d’accès incorrect au sein de l’API de configuration du service e-mail de la plateforme. Lorsque plusieurs services e-mail étaient configurés, les utilisateurs dépourvus de privilèges administratifs pouvaient toujours récupérer les mots de passe des services e-mail, compromettant ainsi le modèle de contrôle d’accès du système.
Dans la pratique, cela signifie que des employés non autorisés pourraient potentiellement accéder à des informations sensibles relatives à la configuration des communications de l’entreprise. Cette faille, bien que moins critique que l’injection SQL, représente toutefois un risque significatif pour la sécurité globale de l’infrastructure.
| Caractéristique | CVE-2025-13757 | CVE-2025-13758 | CVE-2025-13765 |
|---|---|---|---|
| Gravité | Critique (9.4 CVSS) | Moyenne (5.1 CVSS) | Moyenne (4.9 CVSS) |
| Type de faille | Injection SQL | Exposition de données | Contrôle d’accès |
| Impact possible | Exfiltration de données | Fuite de mots de passe | Accès non autorisé |
| Versions affectées | 2025.2.20 et antérieures, 2025.3.8 et antérieures | 2025.2.20 et antérieures, 2025.3.8 et antérieures | 2025.2.20 et antérieures, 2025.3.8 et antérieures |
Mise en œuvre correcte des correctifs
Étapes de mise à jour
Devolutions recommande l’installation immédiate des versions corrigées pour remédier aux trois vulnérabilités. L’avis de sécurité demande aux clients de mettre à niveau Devolutions Server aux versions suivantes :
- Version 2025.2.21 ou supérieure
- Version 2025.3.9 ou supérieure
L’application de ces mises à jour est essentielle pour bloquer les tentatives d’injection SQL, empêcher l’exposition non autorisée des identifiants et restaurer les protections appropriées de contrôle d’accès. Sans ces correctifs, les organisations restent susceptibles à l’exfiltration de données, au récupération non autorisée de mots de passe et à l’escalade incorrecte des privilèges utilisateur.
Dans le contexte actuel de cybersécurité, où les menaces évoluent constamment, il est crucial de suivre les recommandations des éditeurs de logiciels. L’ANSSI insiste sur l’importance de maintenir les systèmes à jour, car les vulnérabilités non corrigées constituent la porte d’entrée privilégiée pour les attaquants.
Bonnes pratiques de sécurité complémentaires
Au-delà de l’application des correctifs immédiats, les organisations doivent renforcer leurs pratiques de sécurité pour se protéger contre les menaces similaires. Voici quelques recommandations essentielles :
- Mise en place d’une politique de gestion des correctifs : Établir un processus régulier de mise à jour des systèmes et logiciels.
- Restriction des accès : Appliquer le principe du moindre privilège pour limiter les permissions des utilisateurs.
- Surveillance des activités : Mettre en place des systèmes de détection d’intrusion et de surveillance des logs.
- Formation des utilisateurs : Sensibiliser les équipes aux risques de sécurité et aux bonnes pratiques.
- Tests de pénétration : Effectuer des audits de sécurité réguliers pour identifier les faiblesses avant les attaquants.
Néanmoins, ces mesures doivent être complétées par une approche proactive de la gestion des vulnérabilités. Les organisations doivent non seulement corriger les failles connues, mais aussi anticiper les menaces émergentes.
Conclusion et recommandations pour les entreprises
L’identification des vulnérabilités CVE-2025-13757, CVE-2025-13758 et CVE-2025-13765 confirme la nécessité d’un correctif immédiat sur toutes les déploiements de Devolutions Server concernés. Étant donné que ces failles exposent des identifiants sensibles et des voies d’accès privilégiées, les systèmes non corrigés font face à des risques de confidentialité et opérationnels mesurables.
Les organisations doivent appliquer les mises à jour recommandées sans délai et renforcer leur surveillance continue des vulnérabilités. Dans un paysage de menaces en constante évolution, la prévention reste la meilleure défense. Les entreprises françaises, en particulier, doivent respecter les exigences du RGPD et des référentiels de sécurité nationaux comme l’ANSSI R-71.
En pratique, les entreprises devraient :
- Évaluer immédiatement leur exposition aux vulnérabilités
- Prioriser la mise à jour des systèmes critiques
- Mettre en place un processus de gestion des correctifs
- Renforcer les contrôles d’accès
- Former leur personnel aux risques associés
La vulnérabilité SQL Injection dans Devolutions Server représente un rappel important que la sécurité des données nécessite une vigilance constante et des actions proactives. En appliquant les recommandations appropriées et en adoptant une approche holistique de la cybersécurité, les organisations peuvent se protéger contre ces menaces et maintenir la confiance de leurs clients et partenaires.