W wersjach ScreenConnect™ starszych niż 25.8 brakuje wystarczającej walidacji i weryfikacji integralności rozszerzeń po stronie serwera, co pozwala autoryzowanym lub administracyjnym użytkownikom na instalację i uruchamianie dowolnych, niezaufanych rozszerzeń. Podatność jest krytyczna, ponieważ może skutkować wykonaniem dowolnego kodu na serwerze oraz nieautoryzowanym dostępem do danych konfiguracyjnych aplikacji.
▸ Pokaż oryginał (EN)
In versions of ScreenConnect™ prior to 25.8, server-side validation and integrity checks within the extension subsystem could allow the installation and execution of untrusted or arbitrary extensions by authorized or administrative users. Abuse of this behavior could result in the execution of custom code on the server or unauthorized access to application configuration data. This issue affects only the ScreenConnect server component; host and guest clients are not impacted. ScreenConnect 25.8 introduces enhanced server-side configuration handling and integrity checks to ensure only trusted extensions can be installed.
Podsystem rozszerzeń ScreenConnect nie przeprowadzał odpowiedniej walidacji po stronie serwera ani nie weryfikował integralności instalowanych pakietów rozszerzeń. Użytkownik z uprawnieniami administracyjnymi mógł zainstalować spreparowane lub w pełni dowolne rozszerzenie, omijając mechanizmy zaufania. Po zainstalowaniu takiego rozszerzenia jego kod był wykonywany bezpośrednio w kontekście serwera ScreenConnect. Problem dotyczy wyłącznie komponentu serwerowego — klienci (host i guest) nie są narażeni.
Atakujący z dostępem administracyjnym może wykonać dowolny kod na serwerze (RCE) oraz uzyskać nieautoryzowany dostęp do danych konfiguracyjnych aplikacji, co może prowadzić do pełnego przejęcia kontroli nad serwerem i danymi przetwarzanymi przez system.
Należy zaktualizować ScreenConnect do wersji 25.8 lub nowszej, która wprowadza wzmocnioną obsługę konfiguracji po stronie serwera oraz weryfikację integralności rozszerzeń, zapewniając instalację wyłącznie zaufanych pakietów. Szczegóły dostępne w biuletynie bezpieczeństwa producenta: https://www.connectwise.com/company/trust/security-bulletins/screenconnect-2025.8-security-patch
ConnectWise ScreenConnect — wszystkie wersje serwera starsze niż 25.8. Komponenty klienckie (host i guest) nie są podatne.
Podatność klasyfikowana jako CWE-494 (Download of Code Without Integrity Check). Mimo wymogu posiadania uprawnień administracyjnych (PR:H), zakres ataku obejmuje inne komponenty systemu (S:C), a wpływ na poufność, integralność i dostępność jest oceniany jako wysoki, co skutkuje oceną CVSS 9.1.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:HConnectwise Screenconnect
APPConnectwise< 25.8.0.9438
Powiązane podatności
Authentication Bypass w ConnectWise ScreenConnect — bezpośredni dostęp do systemów
ScreenConnect versions 25.2.3 and earlier versions may be susceptible to a ViewState code injection attack. AS...
ConnectWise ScreenConnect 23.9.7 and prior are affected by path-traversal vulnerability, which may allow an at...
ConnectWise ScreenConnect through 23.8.4 allows man-in-the-middle attackers to achieve remote code execution v...
In deployments using the ScreenConnect™ Certificate Signing Extension, encrypted configuration values includin...