ConnectWise ScreenConnect - CVE-2024-1708
Date de publication :
Une vulnérabilité de type « Path Traversal » dans ConnectWise ScreenConnect permet à un attaquant ayant les droits administrateur, en menant une attaque de type Zip-Slip, d’exécuter du code arbitraire ou de manipuler des données confidentielles.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire
Atteinte à la confidentialité des données
Atteinte à l’intégrité des données
Exploitation
La vulnérabilité exploitée est du type
CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur privilégié
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Oui
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
ConnectWise ScreenConnect on-premise versions 23.9.7 et antérieures
Solutions ou recommandations
Mettre à jour ConnectWise ScreenConnect vers la version 23.9.10.8817 ou ultérieure. Dans cette version, les restrictions de licences ont été enlevées afin de corriger les produits plus sous maintenance.
Des informations complémentaires sont disponibles dans le bulletin de ConnectWise.