ConnectWiseは、同社のScreenConnectリモートデスクトップおよびアクセスソフトウェアに存在する2つのセキュリティ脆弱性に対処するためのソフトウェア更新をリリースしました。これには、影響を受けるシステムでリモートコード実行を可能にする可能性のある重大なバグが含まれています。
現在CVE識別子が割り当てられていないこれらの脆弱性は以下の通りです。
- 代替パスまたはチャネルを使用した認証バイパス(CVSSスコア:10.0)
- 制限されたディレクトリへのパス名の不適切な制限、いわゆる「パストラバーサル」(CVSSスコア:8.4)
同社は、これらの問題の重大性を「重大」と評価し、「リモートコードを実行する能力を提供するか、機密データや重要なシステムに直接影響を与える可能性がある」と述べています。
これらの脆弱性は、ScreenConnectのバージョン23.9.7およびそれ以前に影響を与え、バージョン23.9.8で修正が利用可能です。これらの欠陥は、2024年2月13日に同社に報告されました。
これらの不備が野生で悪用された証拠はありませんが、自己ホストまたはオンプレミスバージョンを実行しているユーザーには、できるだけ早く最新バージョンに更新することを推奨します。
「ConnectWiseは、重大な問題に対してリリース22.4から23.9.7までの更新バージョンも提供しますが、パートナーにはScreenConnectバージョン23.9.8への更新を強く推奨します」とConnectWiseは述べています。
引用元: https://thehackernews.com/2024/02/critical-flaws-found-in-connectwise.html