遠端管理工具ConnectWise發布ScreenConnect 25.8安全更新,修補編號CVE-2025-14265的漏洞。官方指出,漏洞在特定條件下可能導致未經授權存取組態資料,或讓攻擊者在伺服器端安裝未受信任的擴充套件,增加系統遭不當修改的風險。官方表示目前沒有發現遭到利用的證據,且要觸發相關情境需具備已授權或管理者層級存取權限,因此不屬於無須登入即可發動的攻擊型態。
官方揭露的通用漏洞評分系統CVSS 3.1基準分數為9.1,對機密性、完整性與可用性均屬高影響,不過由於需要高權限才能利用,因此其風險主要落在已取得授權帳號或管理權限的情境。該漏洞對應CWE-494,也就是下載程式碼時缺乏完整性檢查,代表與擴充套件安裝流程的信任與驗證機制相關。
ConnectWise強調該漏洞僅影響ScreenConnect的伺服器端元件,主控端(Host)與連線用戶端(Guest Clients)不在影響範圍。不過在修補建議上,官方仍要求地端環境將連線用戶端更新至相同版本。
受影響版本為25.8之前的ScreenConnect,而此次25.8更新主要強化伺服器端驗證,並在安裝擴充套件時加入完整性檢查,同時提升平臺整體安全性與穩定性,以降低未受信任擴充套件被安裝的可能性,也避免組態資料在特定條件下遭不當存取。
對於採用screenconnect.com雲端託管的客戶,不論是獨立使用,或整合遠端監控與管理平臺ConnectWise Automate及其他同類平臺,ConnectWise表示其ScreenConnect伺服器端已完成更新,用戶無須額外操作即可套用修補。另針對Automate合作夥伴使用的hostedrmm.com託管環境,官方也指出已更新完成。
官方建議地端部署升級至ScreenConnect 25.8,並將用戶端一併更新至相同版本。ConnectWise同時提醒,要是授權已不在維護期間,需先完成授權升級,才能安裝最新受支援版本。針對採用Automate地端並整合ScreenConnect的情境,ConnectWise提出較保守的更新順序,先確認Automate的ScreenConnect擴充套件版本已更新至4.4.0.16,再進行伺服器端升級,以降低整合環境在更新過程中出現相容性問題的機率。
ConnectWise將此事件嚴重性評為重要等級,並優先度則是中等2級。官方建議依既有變更流程排程更新即可,但最慢不應超過30天。
熱門新聞
2025-12-24
2025-12-26
2025-12-26
2025-12-26
2025-12-26
2025-12-29
2025-12-26