聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些漏洞目前尚无 CVE 编号,具体如下:
-
通过所选路径或信道绕过认证(CVSS评分10分)
-
对受限目录的路径名称限制不当,即“路径遍历”(CVSS评分8.4)
该公司将这些漏洞的严重性评为“严重”,指出“可导致执行远程代码或直接影响机密数据或重要系统”。这两个漏洞均影响 ScreenConnect 版本23.9.7及之前版本,修复方案已在23.9.8中推出。这些缺陷由该公司在2024年2月13日报送。
虽然目前尚未有证据表明这些漏洞已遭在野利用,但运行自托管或本地版本的用户应尽快升级至最新版本。
ConnectWise 公司提到,“ConnectWise 将提供 22.4至 23.9.7的更新版本,修复严重问题,但强烈建议合作伙伴更新至 ScreenConnect 23.9.8版本。”
原文始发于微信公众号(代码卫士):速修复!ConnectWise ScreenConnect 中存在多个严重漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论