یک آسیبپذیری تحت عنوان "path traversal" با شناسه CVE-2024-1708 و شدت 8.4 در نرمافزار ConnectWise شناسایی شده است. به موجب این آسیبپذیری مهاجمان میتوانند به فایلها و دایرکتوریهایی دسترسی پیدا کنند. همچنین نقص امنیتی دیگری نیز با شناسه CVE-2024-1709 و شدت10 بحرانین در نرمافزار مذکور شناسایی شده است. این آسیبپذیری امکان دور زدن مراحل احراز هویت را برای دسترسی به سیستم فراهم میآورد. به عبارت دیگر، مهاجم بدون اینکه احراز هویت شود، میتواند از مسیر یا کانالی جایگزین استفاده کند تا به سیستم دسترسی پیدا کند.
محصولات تحت تأثیر
این آسیبپذیری در نسخههای 23.9.7 و قبلتر نرمافزار ScreenConnect شناسایی شده است.
توصیههای امنیتی
به کاربران توصیه میشود به سرعت نرمافزار ScreenConnect را به نسخه 23.9.8، بهروزرسانی کنند.
منابع خبر:
[1]https://www.bleepingcomputer.com/news/security/screenconnect-critical-bug-now-under-attack-as-explo…
[2]https://thehackernews.com/2024/02/critical-flaws-found-in-connectwise.html
- 60