CRITICAL✓ PATCH🇬🇧 English

CVE-2025-14265

ConnectWise ScreenConnect — instalacja niezaufanych rozszerzeń z RCE

CVSS 9.1v3.1pub. 2025-12-11upd. 2026-01-16

W wersjach ScreenConnect™ starszych niż 25.8 brakuje wystarczającej walidacji i weryfikacji integralności rozszerzeń po stronie serwera, co pozwala autoryzowanym lub administracyjnym użytkownikom na instalację i uruchamianie dowolnych, niezaufanych rozszerzeń. Podatność jest krytyczna, ponieważ może skutkować wykonaniem dowolnego kodu na serwerze oraz nieautoryzowanym dostępem do danych konfiguracyjnych aplikacji.

Pokaż oryginał (EN)

In versions of ScreenConnect™ prior to 25.8, server-side validation and integrity checks within the extension subsystem could allow the installation and execution of untrusted or arbitrary extensions by authorized or administrative users. Abuse of this behavior could result in the execution of custom code on the server or unauthorized access to application configuration data. This issue affects only the ScreenConnect server component; host and guest clients are not impacted. ScreenConnect 25.8 introduces enhanced server-side configuration handling and integrity checks to ensure only trusted extensions can be installed.

🤖 Analiza AI
Jak działa

Podsystem rozszerzeń ScreenConnect nie przeprowadzał odpowiedniej walidacji po stronie serwera ani nie weryfikował integralności instalowanych pakietów rozszerzeń. Użytkownik z uprawnieniami administracyjnymi mógł zainstalować spreparowane lub w pełni dowolne rozszerzenie, omijając mechanizmy zaufania. Po zainstalowaniu takiego rozszerzenia jego kod był wykonywany bezpośrednio w kontekście serwera ScreenConnect. Problem dotyczy wyłącznie komponentu serwerowego — klienci (host i guest) nie są narażeni.

Skutki

Atakujący z dostępem administracyjnym może wykonać dowolny kod na serwerze (RCE) oraz uzyskać nieautoryzowany dostęp do danych konfiguracyjnych aplikacji, co może prowadzić do pełnego przejęcia kontroli nad serwerem i danymi przetwarzanymi przez system.

Mitygacja

Należy zaktualizować ScreenConnect do wersji 25.8 lub nowszej, która wprowadza wzmocnioną obsługę konfiguracji po stronie serwera oraz weryfikację integralności rozszerzeń, zapewniając instalację wyłącznie zaufanych pakietów. Szczegóły dostępne w biuletynie bezpieczeństwa producenta: https://www.connectwise.com/company/trust/security-bulletins/screenconnect-2025.8-security-patch

Kogo dotyczy

ConnectWise ScreenConnect — wszystkie wersje serwera starsze niż 25.8. Komponenty klienckie (host i guest) nie są podatne.

Uwagi

Podatność klasyfikowana jako CWE-494 (Download of Code Without Integrity Check). Mimo wymogu posiadania uprawnień administracyjnych (PR:H), zakres ataku obejmuje inne komponenty systemu (S:C), a wpływ na poufność, integralność i dostępność jest oceniany jako wysoki, co skutkuje oceną CVSS 9.1.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
  • Connectwise Screenconnect

    APP
    Connectwise
    < 25.8.0.9438
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2024-1709CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Authentication Bypass w ConnectWise ScreenConnect — bezpośredni dostęp do systemów

CVE-2025-3935HIGH8.1⚠ KEVten sam produkt

ScreenConnect versions 25.2.3 and earlier versions may be susceptible to a ViewState code injection attack. AS...

CVE-2024-1708HIGH8.4⚠ KEVten sam produkt

ConnectWise ScreenConnect 23.9.7 and prior are affected by path-traversal vulnerability, which may allow an at...

CVE-2023-47257HIGH8.1ten sam produkt

ConnectWise ScreenConnect through 23.8.4 allows man-in-the-middle attackers to achieve remote code execution v...

CVE-2025-14823MEDIUM5.3ten sam produkt

In deployments using the ScreenConnect™ Certificate Signing Extension, encrypted configuration values includin...

CVE-2025-14265 — ConnectWise ScreenConnect — instalacja niezaufanych rozszerzeń z RCE — CRITICAL 9.1 | CVEbaza.pl