速修复!ConnectWise ScreenConnect 中存在多个严重漏洞
2024-2-21 18:21:41 Author: mp.weixin.qq.com(查看原文) 阅读量:17 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

ConnectWise 发布软件更新,修复了位于 ScreenConnect 远程桌面和访问软件中的两个漏洞,其中一个严重漏洞可导致在受影响系统上远程执行代码的后果。

这些漏洞目前尚无 CVE 编号,具体如下:

  • 通过所选路径或信道绕过认证(CVSS评分10分)

  • 对受限目录的路径名称限制不当,即“路径遍历”(CVSS评分8.4)

该公司将这些漏洞的严重性评为“严重”,指出“可导致执行远程代码或直接影响机密数据或重要系统”。这两个漏洞均影响 ScreenConnect 版本23.9.7及之前版本,修复方案已在23.9.8中推出。这些缺陷由该公司在2024年2月13日报送。

虽然目前尚未有证据表明这些漏洞已遭在野利用,但运行自托管或本地版本的用户应尽快升级至最新版本。

ConnectWise 公司提到,“ConnectWise 将提供 22.4至 23.9.7的更新版本,修复严重问题,但强烈建议合作伙伴更新至 ScreenConnect 23.9.8版本。”

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

ConnectWise ScreenConnect 存在多个严重漏洞

立即修复!ConnectWise 服务器备份管理器存在RCE,可引发供应链攻击

速修复!Fortra GoAnywhere MFT 中存在严重的认证绕过漏洞

速修复!Buffalo VR-S1000 VPN 路由器中存在多个漏洞

速修复!开源通信框架 FreeSWITCH 受严重漏洞影响

原文链接
https://thehackernews.com/2024/02/critical-flaws-found-in-connectwise.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518869&idx=1&sn=ceb7b148314a0873f976af5bd4f077e9&chksm=ea94bbffdde332e9635f5540519176ed7964fc44feeb1e1f88d148b164ae7043d6d54f1fb886&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh